Le gouvernement australien a publié un avis à la fin de la semaine dernière concernant l’augmentation de la cyberactivité d’un acteur étatique contre les réseaux appartenant à ses agences et entreprises dans le pays.

Derrière l’attaque se trouve un adversaire «sophistiqué» qui s’appuie sur un code d’exploitation de preuve de concept légèrement modifié pour les vulnérabilités d’antan, selon le gouvernement. Un doigt de blâme non officiel pointe vers la Chine.

Adversaire résilient

L’attaquant cible l’infrastructure publique avec des exploits d’exécution de code à distance, un choix fréquent étant les versions non corrigées de l’interface utilisateur Telerik (UI).

Ce serait le quatrième avertissement de cette année (1, 2, 3, 4) de l’Australian Cyber ​​Security Center (ACSC) au sujet d’acteurs de menace exploitant des vulnérabilités critiques dans l’interface utilisateur de Telerik (CVE-2019-18935, CVE-2017-9248, CVE- 2017-11317, CVE-2017-11357). Le code d’exploitation est accessible au public depuis un certain temps pour tous.

Il est important de noter que CVE-2019-18935 a été exploité par plusieurs groupes de menaces, un groupe récemment documenté étant Blue Mockingbird (de la société de cybersécurité Red Canary) à des fins d’extraction de crypto-monnaie.

L’ACSC indique que l’attaquant a également exploité une vulnérabilité de désérialisation VIEWSTATE dans Microsoft Internet Information Services (IIS) pour télécharger un shell Web, une vulnérabilité Microsoft SharePoint 2019 (CVE-2019-0604) et la vulnérabilité CVE-2019-19781 dans Citrix. Tous sont essentiels.

S’ils ne parvenaient pas à obtenir un accès initial en tirant parti de ces failles, l’adversaire s’est tourné vers le hameçonnage pour collecter les informations d’identification, livrer des logiciels malveillants, voler, jetons Office 365 OAuth.

Ils ont également utilisé des «services de suivi des courriels pour identifier l’ouverture des courriels et attirer les événements de clics», note l’avis de l’ACSC.

L’enquête de l’ACSC a montré que l’intrus avait effectué des opérations de reconnaissance, sans aucun signe «d’activités perturbatrices ou destructrices dans les environnements des victimes».

Le…