Posté le juin 5, 2023 à 6:11

MICROSOFT ATTRIBUE L’EXPLOITATION ACTIVE DE L’APPLICATION DE TRANSFERT MOVEIT AUX HACKERS DE LACE TEMPEST

Le géant de la technologie Microsoft a attribué l’exploitation active d’une vulnérabilité critique de l’application de transfert MOVEit à un groupe d’acteurs de la menace connu sous le nom de Lace Tempest. Lace Tempest est un groupe de hackers également connu sous le nom de Storm-0950.

Microsoft affirme que les hackers de Lace Tempest sont à l’origine de l’exploit MOVEit

L’équipe Microsoft Threat Intelligence a publié une déclaration sur cet exploit dans un fil de discussion sur Twitter, indiquant que l’exploitation est généralement suivie par le déploiement d’un shell web qui contient des fonctions d’exfiltration de données. Microsoft a déclaré que la faille en question permet à un acteur de la menace de s’identifier comme n’importe quel utilisateur.

« Microsoft attribue les attaques exploitant la vulnérabilité CVE-2023-34362 MOVEit Transfer 0-day7 à Lace Tempest, connu pour ses opérations de ransomware et son site d’extorsion Clop. L’acteur de la menace a utilisé des vulnérabilités similaires dans le passé pour voler des données et extorquer des victimes », a tweeté Microsoft.

Lace Tempest est un groupe de hackers aussi connu sous le nom de Storm-0950. Ce groupe opère en tant qu’affilié de ransomware, et il partage généralement des activités avec d’autres groupes, dont Evil Corp, FIN11 et TA505. Ce groupe serait également l’opérateur d’un site d’extorsion connu sous le nom de Cl0p.

Ce groupe d’acteurs de menaces a la réputation d’exploiter différentes vulnérabilités zero day, puis d’extraire des données des victimes avant de les extorquer. Ce groupe d’acteurs de la menace a récemment été observé en train d’exploiter une grave faille dans les serveurs PaperCut.

La vulnérabilité répertoriée sous le nom de CVE-2023-34362 est liée à une vulnérabilité par injection SQL dans l’application MOVEit Transfer. Cette faille permet aux attaquants d’obtenir un accès distant et non autorisé à la base de données de l’application, après quoi ils exécuteront du code arbitraire.

Il y aurait au moins plus de 3 000 bots exposés qui utilisent le service de transfert MOVEit. C’est ce que révèlent les données communiquées par une société de gestion de la surface d’attaque connue sous le nom de Censys.

L’activité de ce groupe d’acteurs de la menace est surveillée par Mandiant. L’entreprise suit cette activité sous le nom UNC4857 qui a été étiqueté avec le shell web connu sous le nom de LEMURLOOT. Le groupe d’acteurs de la menace a déclaré avoir détecté un large éventail de connexions tactiques établies avec FIN11.

Une déclaration publiée la semaine dernière par l’Agence Américaine pour la cybersécurité et les infrastructures (CISA) indique que la vulnérabilité en question figure dans le catalogue des vulnérabilités exploitées connues (KEV). L’agence a également recommandé aux agences fédérales d’appliquer les correctifs fournis par les fournisseurs avant le 23 juin 2023.

L’exploitation de cette application de transfert intervient après qu’une autre exploitation zero day massive a été signalée sur les serveurs FTA d’Accellion en décembre 2020. Une exploitation similaire a aussi eu lieu sur GoAnywhere MFT en janvier 2023. Étant donné le risque croissant de ces attaques, il est impératif que les utilisateurs déploient les correctifs dès que possible pour limiter les risques potentiels.

L’exploitation de l’application de transfert MOVEit fait de nombreuses victimes

Les premières victimes de l’exploitation d’une faille critique dans l’application de transfert MOVEit ont commencé à se manifester au cours du week-end. L’une de ces victimes est Zellis, un fabricant de logiciels de ressources humaines et un fournisseur de services de paie situé au Royaume-Uni. La société a publié un communiqué indiquant que le système de transfert de fichiers MOVEit avait été compromis et que l’incident avait touché plusieurs entreprises clientes.

L’une des entreprises clientes touchées est British Airways. Le géant du transport aérien a indiqué que cette violation avait affecté les données salariales de tous ses employés basés au Royaume-Uni. Un porte-parole de la compagnie a également déclaré qu’elle avait notifié les employés dont les informations personnelles ont été affectées par la violation, ajoutant qu’elle leur fournirait des conseils et un soutien.

L’incident a par ailleurs touché l’entreprise de médias Britannique BBC. Le géant des médias a confirmé avoir été affecté par l’incident survenu chez Zellis. Un porte-parole de l’entreprise a déclaré qu’elle enquêtait sur l’étendue de la violation, ajoutant qu’elle maintenait une sécurité des données solide et qu’elle suivait les lignes directrices établies en matière de signalement.

Le gouvernement de la Nouvelle-Écosse utilise aussi l’application MOVEit pour transférer des fichiers entre les différents services. Il a publié un communiqué indiquant que les données personnelles de certains clients pourraient avoir été compromises à cause de cette violation. Le gouvernement a indiqué qu’il avait mis hors ligne le système concerné et qu’il s’efforçait de déterminer le type d’informations qui ont été volées et le nombre de personnes concernées.

Il est probable que le nombre de victimes affectées par la vulnérabilité de l’application de la Nouvelle-Écosse continue d’augmenter dans les jours à venir. Selon Microsoft, une fois que ces hackers ont obtenu un premier accès, celui-ci est suivi d’une exfiltration de données.