Cyberattaque

Les pirates de FIN7 créent une plateforme d’attaque automatique pour pénétrer dans les serveurs Exchange

Par Philippe Ternision , le 3 janvier 2023 , mis à jour le 3 janvier 2023 - 5 minutes de lecture
failles exchange
5/5 - (1 vote)

La tristement célèbre organisation de pirates FIN7 s’introduit dans les réseaux d’entreprises, vole des données et choisit les cibles des attaques par ransomware en fonction de leur taille financière, à l’aide d’un système d’attaque automatisé qui exploite les vulnérabilités de Microsoft Exchange et d’injection SQL.

L’équipe de renseignement sur les menaces de Prodaft, qui surveille de près les opérations de FIN7 depuis des années, a découvert ce système.

Dans une étude qui a été fournie à BleepingComputer avant sa publication, Prodaft partage des informations concernant l’organisation interne de FIN7, les connexions à de nombreuses initiatives de ransomware et un nouveau système de porte dérobée SSH permettant de voler des données dans les réseaux affectés.

FIN7 est un acteur de la menace ayant une motivation financière qui parle russe et qui est actif au moins depuis 2012.

Il a déjà été associé à des attaques par ransomware, à des attaques de distributeurs automatiques de billets, à la dissimulation de clés USB porteuses de malwares dans des ours en peluche et à d’autres crimes.

Attaque automatique de Microsoft Exchange

Checkmarks, le nom du système d’attaque automatique découvert par Prodaft, est un scanner pour un certain nombre de vulnérabilités d’élévation de privilèges et d’exécution de code à distance dans Microsoft Exchange, notamment CVE-2021-31207, CVE-2021-34523 et CVE-2021-34473.

À partir de juin 2021, FIN7 a employé Checkmarks pour identifier automatiquement les points d’extrémité faibles dans les réseaux des organisations, les exploiter et acquérir un accès via des shells web libérateurs utilisant PowerShell.

Pour accéder aux réseaux cibles, FIN7 a utilisé un certain nombre d’attaques, y compris son propre code original et des preuves de concept librement accessibles.

La plateforme d’attaque Checkmarks comprend un module d’injection SQL qui utilise SQLMap pour rechercher des failles potentiellement exploitables sur le site Web d’une cible, en plus des problèmes liés à MS Exchange.

Checkmark's SQL injections
Injections SQL de Checkmark (Prodaft)

Après la phase d’attaque initiale, Checkmarks effectue automatiquement des étapes de post-exploitation, telles que l’extraction d’e-mails d’Active Directory et la collecte d’informations sur le serveur Exchange.

The auto-exploit process
Procédure de post-intrusion (Prodaft)

Les nouvelles victimes sont automatiquement ajoutées à un panneau central où les opérateurs FIN7 peuvent voir des détails supplémentaires sur le terminal compromis.

Victim details on Checkmarks
Détails de la victime sur Checkmarks (Prodaft)

Ensuite, l’équipe “marketing” interne de FIN7 examine attentivement les nouvelles entrées et ajoute des commentaires sur la plate-forme Checkmarks pour répertorier le chiffre d’affaires actuel des victimes, le nombre d’employés, les informations sur le domaine, les détails du siège social et d’autres informations qui aident les pentesters à décider si l’entreprise vaut la peine de consacrer du temps et des efforts à une attaque par ransomware.

Selon le rapport de Prodaft envoyé à BleepingComputer, “Si une entreprise est évaluée comme ayant une taille de marché appropriée, le pentester fournit un commentaire pour l’administrateur sur la façon dont la connexion au serveur peut être utilisée, combien de temps l’attaque peut rester, et jusqu’où elle peut aller.”

L’équipe marketing de FIN7 effectue des recherches approfondies pour évaluer la taille et la situation financière d’une entreprise, en rassemblant des données provenant de diverses sources telles que Owler, Crunchbase, DNB, Zoominfo, Mustat et Similarweb.

Owler data view on Checkmarks
Vue des données Owler sur Checkmarks (Prodaft)

Selon Prodaft, la plateforme Checkmarks de FIN7 a déjà été utilisée pour infiltrer 8 147 entreprises, principalement basées aux États-Unis (16,7 %), après avoir analysé plus de 1,8 million de cibles.

Map of FIN7 victims
Carte thermique des victimes de FIN7 (Prodaft)

Ransomware et portes dérobées SSH

Sentinel Labs a découvert des preuves reliant l’organisation FIN7 au réseau de ransomware Black Basta en novembre 2022, tandis que Mandiant avait auparavant relié les pirates russes aux opérations de Darkside en avril 2022.

Après la découverte de ce qui semblait être des notes de rançon et des données cryptées provenant de l’opération de ransomware, les investigations de Prodaft ont permis de découvrir des preuves supplémentaires de la connexion avec le DarkSide.

En outre, les journaux Jabber obtenus contenaient de nombreuses preuves de communications avec de nombreux gangs de ransomware, dont Darkside, REvil et LockBit.

Ces journaux révèlent un fait intéressant : FIN7 conserve fréquemment une porte dérobée SSH ouverte sur les réseaux des victimes de ransomware, même après le paiement de la rançon, soit pour vendre l’accès à d’autres organisations, soit pour tester de nouvelles attaques à l’avenir.

Les connexions SSH inversées (SFTP) à travers un domaine Onion sont rendues possibles par cette porte dérobée SSH, un ajout récent à la boîte à outils de FIN7 qui lui permet de voler des fichiers sur des machines compromises.

Part of the SSH backdoor script
Partie du script de la porte dérobée SSH (Prodaft)

La plateforme Checkmarks de FIN7 est un exemple de la manière dont les acteurs de la menace industrialisent les exploits publics pour mener des attaques massives de portée internationale.

Le rapport révèle également que FIN7 cible tout le monde et, dans une phase ultérieure, évalue leur valeur au lieu de se concentrer uniquement sur les entreprises de grande valeur.

Pour la porte dérobée basée sur SSH et les autres logiciels malveillants utilisés dans leurs attaques, Prodaft a fourni des indicateurs de compromission (IOC) dans son rapport. Tous les administrateurs sont invités à lire le rapport afin de comprendre comment FIN7 cible leurs réseaux.

 

 

Philippe Ternision

Philippe Ternision

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.