Le groupe Hacker utilise Solaris Zero-Day pour violer les réseaux d’entreprise

Le groupe Hacker utilise Solaris Zero-Day pour violer les réseaux d'entreprise

Le zero-day semble avoir été acheté sur un site Web du marché noir pour 3000 $. Mandiant, l'unité d'enquêtes de la société de sécurité FireEye, a publié aujourd'hui des détails sur un nouvel acteur de menace qu'il appelle UNC1945 que la société de sécurité affirme avoir utilisé une vulnérabilité zero-day dans le système d'exploitation Oracle Solaris dans le cadre de ses intrusions dans les réseaux d'entreprise.

Les cibles régulières des attaques UNC1945 incluaient des sociétés de télécommunications, financières et de conseil, a déclaré l'équipe de Mandiant dans un rapport publié aujourd'hui.

Ancien groupe, nouveau zero-day

Alors que l'activité UNC1945 remonte à 2018, Mandiant a déclaré que le groupe avait attiré leur attention plus tôt cette année après que l'acteur de la menace ait utilisé une vulnérabilité jamais vue auparavant dans le système d'exploitation Oracle Solaris.


Suivi comme CVE-2020-14871, le jour zéro était une vulnérabilité dans le module d'authentification enfichable Solaris (PAM) qui permettait à UNC1945 de contourner les procédures d'authentification et d'installer une porte dérobée nommée SLAPSTICK sur les serveurs Solaris exposés à Internet.


Mandiant a déclaré que les pirates ont ensuite utilisé cette porte dérobée comme point d'entrée pour lancer des opérations de reconnaissance à l'intérieur des réseaux d'entreprise et se déplacer latéralement vers d'autres systèmes.


Pour éviter toute détection, Mandiant a déclaré que le groupe avait téléchargé et installé une machine virtuelle QEMU exécutant une version du système d'exploitation Linux Tiny Core.


Cette machine virtuelle Linux sur mesure était préinstallée avec plusieurs outils de piratage tels que des scanners de réseau, des videurs de mots de passe, des exploits et des boîtes à outils de reconnaissance qui permettaient à UNC1945 d'analyser le réseau interne d'une entreprise à la recherche de faiblesses et de passer latéralement à plusieurs systèmes, qu'ils exécutent Windows ou * Systèmes basés sur NIX.

Pour plus d'information >>

https://www.zdnet.com/article/hacker-group-uses-solaris-zero-day-to-breach-corporate-networks/

Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram

Categories:

Company

Consulting

Formation

Support

Blog

Solutions

Société

À propos

Carrières

Partenariats

Partenaire

Symantec

Fortinet

Rapid7

BeyondTrust


UNIDEES®

Conditions d’utilisation

Déclaration de confidentialité

Déclaration de sécurité