Avec de nombreuses cyber-attaques, intrusions, compromissions ou encore lorsque des événements ou menaces comme Storm-0558 sont couverts par les médias grand public, les personnes et les entreprises sont alors susceptibles de se poser certaines questions, notamment sur leur capacité à se protéger !
Corelight peut-il détecter les menaces grâce à ses capteurs, ses produits et sa plateforme?

Sur la base des développements actuels concernant la cyber menace “Storm-0558”, nous avons voulu dans ce post, mettre en évidence diverses données Corelight qui constituent et identifient des environnements ou des ressources a privilégier pour les équipes SOC ou intervenants de sécurité en cas d’incident.
Ces données et informations peuvent être exploitées par les clients Corelight pour détecter et analyser l’activité liée à la cyber menace “Storm-0558”.
Les techniques d’identification de ces indicateurs peuvent inclure l’utilisation de Zeek via des détections de scripts, Suricata via des signatures IDS, des règles créées pour SmartPCAP, ou par le biais de tâches et de missions de chasse aux menaces avec les journaux Corelight intégrés dans diverses plates-formes SIEM et plates-formes d’enquête sur les menaces.

Qu’est ce que “Storm-0558”?

En bref, il s’agit d’une cyber menace orchestrée par un acteur basé en Chine.
Cet acteur utilise de faux tokens d’authentification pour cibler diverses organisations, en se concentrant principalement sur les comptes de messagerie gouvernementaux, militaires, fédéraux américains et européens.
Les vecteurs d’attaque impliquent principalement les serveurs Exchange, OWA et les systèmes de messagerie basés sur le cloud comme Office 365, impactant les ressources d’authentification, telles que les services Active Directory et Azure Directory.

Deux des meilleures ressources à consulter pour approfondir la question de Storm-0558 sont ces articles de Microsoft :

https://msrc.microsoft.com/blog/2023/07/microsoft-mitigates-china-based-threat-actor-storm-0558-targeting-of-customer-email/

Analysis of Storm-0558 techniques for unauthorized email access

Pourquoi parler de cette menace ?

Si le cyber-espionnage et le ciblage des systèmes de messagerie, utilisant de faux tokens d’authentification (ou d’autres méthodes permettant de s’attaquer à diverses applications et ressources d’authentification des systèmes) n’ont rien de nouveau, les outils et les indicateurs de compromission de cet acteur de la menace présentent qu’en a eux, plusieurs types d’indicateurs spécifiquement liés au NDR/Network.

Cet acteur malveillant utilise un VPN spécifique connu sous le nom de SoftEther VPN.
Heureusement, le module VPN Inferences du Encrypted Traffic Collection de Corelight, peut le détecter et l’enregistrer.
De plus, les adresses IP utilisées par l’acteur de la menace apparaîtraient dans divers journaux liés à Zeek et Suricata.
Il est donc essentiel d’agir maintenant, de créer des détections programmées par Zeek et de rédiger des signatures IDS personnalisées pour Suricata que vous pourrez déployer sur vos plateformes Corelight Sensor.

Quels logs contiendraient des indicateurs Storm-0558 ?

Le fichier conn.log contiendrait les adresses IP dont Microsoft a observé l’utilisation au cours de la campagne (voir la section “Indicators of compromise“), qui remonte aux mois de mars et d’avril de cette année, mais qui a été observée dans diverses organisations victimes au cours des mois de juin, juillet et août 2023.
Ces IP et d’autres IOC de Microsoft peuvent également être introduits dans le cadre Intel pour une alerte immédiate.

Le fichier http.log contiendrait les noms d’hôtes liés au trafic de l’acteur de la menace en provenance des organisations victimes, ainsi qu’un ensemble spécifique de chaînes d’agents utilisateurs connues pour être associées au VPN SoftEther.

Les fichiers http.log et files.log contiennent deux hachages SHA-1 spécifiques associés à des pages d’authentification contenant un URI de /#/login.

Les fichiers x509.log et ssl.log contiennent une date d’expiration de certificat spécifique qui a été observée comme étant le 31 décembre 2037.

Étant donné que Microsoft a commencé à bloquer et à remplacer les clés utilisées pour empêcher cet acteur malveillant d’utiliser des tokens falsifiés en juin/juillet 2023, pourquoi la capacité de détection NDR est-elle nécessaire ?

En raison de la quantité de bruit et d’indicateurs détectables que cet acteur de la menace génère dans le trafic réseau, il est relativement facile pour les capteurs Corelight de générer des événements dans le notice.log de Zeek et de générer des alertes Suricata lorsque des conditions de signature sont créées à partir d’indicateurs de compromission bien documentés.

Il s’agit davantage de la détection d’un acteur de menace ciblé qui est présent dans votre réseau (indépendamment du fait que ses exploits et vulnérabilités ont été atténués par Microsoft) et qui peut décider d’utiliser des exploits et des tactiques plus récents ou non documentés que toutes les organisations devraient surveiller.

Références pour des résumés généraux et des articles techniques sur Storm-0558 :

https://www.microsoft.com/en-us/security/blog/2023/07/14/analysis-of-storm-0558-techniques-for-unauthorized-email-access/

https://msrc.microsoft.com/blog/2023/07/microsoft-mitigates-china-based-threat-actor-storm-0558-targeting-of-customer-email/

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-193a

https://thehackernews.com/2023/07/microsoft-bug-allowed-hackers-to-breach.html

https://arstechnica.com/security/2023/07/how-a-cloud-flaw-gave-chinese-spies-a-key-to-microsofts-kingdom/

https://www.wsj.com/articles/chinese-hackers-spied-on-state-department-13a09f03

https://www.cnn.com/2023/07/12/politics/china-based-hackers-us-government-email-intl-hnk/index.html

https://www.meritalk.com/articles/sen-wyden-demands-probe-of-microsofts-cyber-practices-after-chinese-cyber-hack/

Source : CoreLight

Pour plus d’informations concernant les solutions