Le groupe cybernétique « Gold Melody » vend-il des accès compromis aux auteurs de ransomwares ?
- , le 22 septembre 2023
- 0 h 34 min
Un acteur de la menace aux motivations financières a été démasqué en tant que courtier d’accès initial (IAB) qui vend l’accès à des organisations compromises à d’autres adversaires pour mener des attaques de suivi telles que des ransomwares.
Il s’agit d’un acteur de la menace aux motivations financières.
L’unité de lutte contre les menaces (CTU) de SecureWorks a baptisé le groupe de cybercriminels Gold Melody, également connu sous les noms de Prophet Spider (CrowdStrike) et UNC961 (Mandiant).
L’unité de lutte contre les menaces (CTU) de SecureWorks a baptisé le groupe de cybercriminels Gold Melody.
« Ce groupe aux motivations financières est actif depuis au moins 2017, compromettant des organisations en exploitant des vulnérabilités dans des serveurs non patchés orientés vers Internet », a déclaré l’entreprise de cybersécurité.
« La victimologie suggère des attaques opportunistes pour un gain financier plutôt qu’une campagne ciblée menée par un groupe de menace parrainé par un État à des fins d’espionnage, de destruction ou de perturbation. »
Gold Melody a déjà été lié à des attaques exploitant des failles de sécurité dans JBoss Messaging (CVE-2017-7504), Citrix ADC (CVE-2019-19781), Oracle WebLogic (CVE-2020-14750 et CVE-2020-14882), GitLab (CVE-2021-22205), Citrix ShareFile Storage Zones Controller (CVE-2021-22941), Atlassian Confluence (CVE CVE 2023 2023 ), ForgeRock AM AM , et Apache Log4j Log4j servers.
Le groupe de cybercriminels a été observé en train d’étendre son empreinte victimologique pour frapper le commerce de détail, les soins de santé, l’énergie, les transactions financières et les organisations de haute technologie en Amérique du Nord, en Europe du Nord et en Asie occidentale à partir du milieu de l’année 2020.
Mandiant Mandiant , dans une analyse publiée en mars 2023 , a déclaré que » dans de multiples cas , l’activité d’intrusion UNC961 a précédé le déploiement des ransomwares Maze et Egregor de la part d’acteurs de suivi distincts. L’analyse décrit en outre le groupe comme « plein de ressources dans son approche opportuniste des opérations d’accès initial » et note qu’il « utilise une approche rentable pour obtenir un accès initial en exploitant des vulnérabilités récemment divulguées à l’aide d’un code d’exploitation accessible au public ».
En plus de s’appuyer sur un arsenal diversifié comprenant des shells web, des logiciels d’exploitation intégrés et des utilitaires accessibles au public, il est connu pour utiliser des chevaux de Troie d’accès à distance propriétaires (RAT) et des outils de tunnelisation tels que GOTROJ alias MUTEPUT BARNWORK HOLEDOOR DARKDOOR AUDITUNNEL HOLEPUNCH LIGHTBUNNY HOLERUN pour exécuter des commandes arbitraires, recueillir des informations sur le système et établir un tunnel inversé avec une adresse IP codée en dur.
Secureworks Secureworks , qui a lié Gold Melody à cinq intrusions entre juillet 2020 et juillet 2022 2022 , a déclaré que ces attaques impliquaient l’abus d’un ensemble différent de failles , y compris celles impactant Oracle E Business Suite CVE 2016 0545 CVE 2017 5638 Sitecore XP CVE 2021 42237 Flexera FlexNet CVE 2021 4104 .
