Un acteur menaçant motivé par des raisons financières a été identifié comme un courtier d’accès initial (IAB) qui vend l’accès à des organisations compromises à d’autres adversaires afin de mener des attaques ultérieures telles que des ransomwares.
SecureWorks Counter Threat Unit (CTU) a surnommé le groupe de cybercriminalité Gold Melody, également connu sous les noms de Prophet Spider (CrowdStrike) et UNC961 (Mandiant).
« Ce groupe à motivation financière est actif depuis au moins 2017, compromettant les organisations en exploitant les vulnérabilités des serveurs Internet non corrigés », a déclaré la société de cybersécurité.
« La victimologie suggère des attaques opportunistes visant à obtenir un gain financier plutôt qu’une campagne ciblée menée par un groupe menaçant parrainé par l’État à des fins d’espionnage, de destruction ou de perturbation. »
Gold Melody a déjà été associé à des attaques exploitant des failles de sécurité dans JBoss Messaging (CVE-2017-7504), Citrix ADC (CVE-2019-19781), Oracle WebLogic (CVE-2020-14750 et CVE-2020-14882), GitLab ( CVE-2021-22205), contrôleur de zones de stockage Citrix ShareFile (CVE-2021-22941), Atlassian Confluence (CVE-2021-26084), ForgeRock AM (CVE-2021-35464) et Apache Log4j (CVE-2021-44228) les serveurs.
Il a été observé que le groupe de cybercriminalité étendait son empreinte victimologique pour frapper les organisations de vente au détail, de soins de santé, d’énergie, de transactions financières et de haute technologie en Amérique du Nord, en Europe du Nord et en Asie occidentale à partir de la mi-2020.
Mandiant, dans une analyse publiée en mars 2023, a déclaré que « dans plusieurs cas, l’activité d’intrusion UNC961 a précédé le déploiement des ransomwares Maze et Egregor par des acteurs distincts ».
Il décrit en outre le groupe comme « ingénieux dans son approche opportuniste des opérations d’accès initial » et note qu’il « utilise une approche rentable pour obtenir un accès initial en exploitant les vulnérabilités récemment révélées à l’aide d’un code d’exploitation accessible au public ».
En plus de s’appuyer sur un arsenal diversifié comprenant des shells Web, des logiciels de système d’exploitation intégrés et des utilitaires accessibles au public, il est connu pour employer des chevaux de Troie d’accès à distance (RAT) propriétaires et des outils de tunneling tels que GOTROJ (alias MUTEPUT), BARNWORK, HOLEDOOR, DARKDOOR, AUDITUNNEL, HOLEPUNCH, LIGHTBUNNY et HOLERUN pour exécuter des commandes arbitraires, collecter des informations système et établir un tunnel inverse avec une adresse IP codée en dur.
Secureworks, qui a lié Gold Melody à cinq intrusions entre juillet 2020 et juillet 2022, a déclaré que ces attaques impliquaient l’abus d’un ensemble différent de failles, notamment celles affectant Oracle E-Business Suite (CVE-2016-0545), Apache Struts (CVE-2016-0545). 2017-5638), Sitecore XP (CVE-2021-42237) et Flexera FlexNet (CVE-2021-4104) pour obtenir un accès initial.
Une implantation réussie est assurée par le déploiement de shells Web pour la persistance, suivi de la création de répertoires dans l’hôte compromis pour organiser les outils utilisés dans la chaîne d’infection.
« Gold Melody effectue un nombre considérable d’analyses pour comprendre l’environnement d’une victime », a indiqué la société. « L’analyse commence peu de temps après l’obtention de l’accès, mais elle est répétée et poursuivie tout au long de l’intrusion. »
La phase de reconnaissance ouvre la voie à la récolte d’informations d’identification, aux mouvements latéraux et à l’exfiltration des données. Cela dit, les cinq attaques se sont finalement révélées infructueuses.
« Gold Melody agit comme un IAB motivé financièrement, vendant l’accès à d’autres acteurs malveillants », a conclu la société. « Les acheteurs monétisent ensuite l’accès, probablement par le biais d’extorsions via le déploiement de ransomwares. »
« Sa dépendance à l’exploitation des vulnérabilités des serveurs Internet non corrigés pour l’accès renforce l’importance d’une gestion robuste des correctifs. »
