Microsoft a rapporté cette semaine avoir repéré des attaques de Zerologon apparemment menées par TA505, un groupe de cybercriminalité notoire lié à la Russie.

Selon Microsoft, les attaques Zerologon qu’il a observées impliquent de fausses mises à jour logicielles qui se connectent à l’infrastructure de commande et de contrôle (C&C) connue pour être associée à TA505, que l’entreprise suit sous le nom de CHIMBORAZO.

Les fausses mises à jour sont conçues pour contourner la fonctionnalité de sécurité de contrôle de compte d’utilisateur (UAC) dans Windows et elles abusent de l’outil Windows Script Host (wscript.exe) pour exécuter des scripts malveillants.

«Pour exploiter la vulnérabilité, les attaquants abusent de MSBuild.exe pour compiler Mimikatz mis à jour avec la fonctionnalité ZeroLogon intégrée», a déclaré Microsoft.

Le géant de la technologie a ajouté: « Les attaques apparaissant dans les logiciels malveillants de base comme celles utilisées par l’acteur menaçant CHIMBORAZO indiquent une exploitation plus large à court terme. »

TA505, également connu sous le nom d’Evil Corp, est actif depuis près d’une décennie et est principalement connu pour ses opérations impliquant des chevaux de Troie bancaires et des ransomwares. Ce n’est pas la première fois que le groupe exploite les vulnérabilités de Windows dans ses attaques, et les chercheurs ont récemment découvert des liens entre des campagnes menées par TA505 et des pirates nord-coréens.

Microsoft a d’abord mis en garde les utilisateurs contre des acteurs malveillants exploitant la vulnérabilité Zerologon le 24 septembre. Plus tôt cette semaine, il a émis un autre avertissement après avoir constaté que la faille avait également été exploitée par un acteur de la menace parrainé par l’État iranien.

La vulnérabilité Zerologon, officiellement suivie comme CVE-2020-1472 et décrite comme un problème d’élévation de privilèges, affecte Windows Server et a été jugée critique. Il a été corrigé par Microsoft en août avec ses mises à jour de sécurité mensuelles.

La faille permet à un attaquant qui a accès au réseau de l’organisation ciblée de compromettre les contrôleurs de domaine sans avoir besoin d’informations d’identification.

Microsoft a informé ses clients que l’application …