Une campagne de cyberespionnage visant plusieurs infrastructures critiques en Asie exploite des serveurs web compromis pour pénétrer les réseaux des organisations ciblées. Les attaquants utilisent notamment l’outil Mimikatz pour récupérer des identifiants et se déplacer dans les systèmes compromis.
Des infrastructures critiques ciblées en Asie
Des organisations situées en Asie du Sud, du Sud-Est et de l’Est ont été visées par une campagne de cyberespionnage s’appuyant sur l’exploitation de serveurs web vulnérables. Les attaques ciblent des secteurs considérés comme stratégiques, notamment l’aviation, l’énergie, les télécommunications, les technologies, les administrations publiques et l’industrie pharmaceutique.
Les activités ont été attribuées par les chercheurs de Palo Alto Networks Unit 42 à un groupe d’attaque encore peu documenté, identifié sous le nom de CL-UNK-1068. Les analystes estiment que la motivation principale de cette campagne est l’espionnage à long terme plutôt que le sabotage ou l’extorsion. Selon les chercheurs, la campagne serait active depuis plusieurs années et viserait des organisations à forte valeur stratégique.
Exploitation de serveurs web pour pénétrer les réseaux
Les attaques reposent d’abord sur l’exploitation de serveurs web exposés sur Internet. Les attaquants déploient ensuite des web shells, des scripts malveillants permettant de contrôler un serveur à distance. Une fois l’accès initial obtenu, ils cherchent à récupérer certains fichiers sensibles présents sur les serveurs web Windows. Les chercheurs ont notamment observé des tentatives d’exfiltration de fichiers liés aux applications web, comme des fichiers de configuration ou des bibliothèques utilisées par les applications hébergées sur ces serveurs. Ces informations peuvent ensuite être utilisées pour découvrir d’autres vulnérabilités, récupérer des identifiants ou préparer une progression vers d’autres systèmes du réseau.
L’utilisation de Mimikatz pour récupérer les identifiants
Pour étendre leur accès, les attaquants utilisent également Mimikatz, un outil bien connu dans l’écosystème cyber. Ce programme permet d’extraire des identifiants stockés en mémoire dans les systèmes Windows. À l’origine développé pour tester la sécurité des environnements Windows, Mimikatz est aujourd’hui largement utilisé par les attaquants pour récupérer des mots de passe ou des empreintes d’identification, puis se déplacer latéralement dans les réseaux compromis. Dans cette campagne, les chercheurs ont également observé l’utilisation d’autres outils permettant d’extraire des informations sensibles de la mémoire des systèmes ou de récupérer des données de connexion liées à Microsoft SQL Server.
