Cet article de Google Cloud Threat Intelligence détaille l’attaque sophistiquée menée par le groupe de menace UNC3944, qui cible les environnements VMware vSphere dans les secteurs du commerce de détail, des compagnies aériennes et de l’assurance.
L’attaque se déroule en cinq phases :
- Ingénierie sociale pour compromettre les opérations du help desk et obtenir les identifiants Active Directory.
- Prise de contrôle du plan de contrôle vCenter via la manipulation du chargeur de démarrage GRUB et le déploiement de Teleport C2.
- Vol d’identifiants hors ligne par manipulation de disques VM et exfiltration de NTDS.dit.
- Sabotage de l’infrastructure de sauvegarde par manipulation de groupes AD.
- Déploiement de ransomware au niveau ESXi utilisant vim-cmd et des binaires personnalisés.
Les mesures d’atténuation techniques recommandées incluent :
- Mode de verrouillage vSphere
- Paramètres du noyau execInstalledOnly
- Chiffrement des VM
- MFA résistant au phishing
- Journalisation centralisée avec corrélation SIEM
- Référentiels de sauvegarde immuables
L’article se concentre sur une stratégie de défense en trois piliers : durcissement proactif, intégrité de l’architecture d’identité, et capacités avancées de détection pour contrer ce groupe de menace financièrement motivé.
🔗 Source originale : https://cloud.google.com/blog/topics/threat-intelligence/defending-vsphere-from-unc3944/