Selon Huntress (blog), une compromission étendue de dispositifs SonicWall SSLVPN a touché plus de 100 comptes répartis sur 16 environnements clients, avec des connexions malveillantes observées à partir du 4 octobre. L’enquête met en évidence l’usage d’identifiants valides plutôt que du bruteforce, et une origine récurrente des connexions depuis l’adresse IP 202.155.8[.]73. 🚨

Sur le plan technique, les attaquants ont procédé à des authentifications rapides sur de multiples comptes, particulièrement entre les 4 et 6 octobre. Les sessions présentaient des comportements post-exploitation variables : certaines se déconnectaient rapidement, tandis que d’autres évoluaient vers du scan réseau et des tentatives d’accès à des comptes Windows locaux.

Ce pic d’activité coïncide avec un avis de sécurité de SonicWall signalant un accès non autorisé à la plateforme MySonicWall et l’exposition de fichiers de sauvegarde de configurations de pare-feu stockés dans le cloud, contenant des identifiants et données de configuration chiffrés. Aucun lien direct n’est établi, mais la concomitance soulève des inquiétudes quant à une possible collecte d’identifiants à partir de cette exposition.

Indicateurs de compromission (IOCs) 🔎:

  • Adresse IP source des authentifications suspectes: 202.155.8[.]73
  • Fenêtre d’activité principale: 4–6 octobre

Tactiques, Techniques et Procédures (TTPs) 🧰:

  • Utilisation d’identifiants valides au lieu de bruteforce
  • Authentifications rapides sur plusieurs comptes
  • Scan réseau interne post-authentification
  • Tentatives d’accès à des comptes Windows locaux

Il s’agit d’une analyse de menace visant à documenter l’ampleur de la compromission, les comportements observés et les indicateurs associés.

🧠 TTPs et IOCs détectés

TTPs

[‘Utilisation d’identifiants valides’, ‘Authentifications rapides sur plusieurs comptes’, ‘Scan réseau interne post-authentification’, ‘Tentatives d’accès à des comptes Windows locaux’]

IOCs

[‘202.155.8[.]73’]

🔗 Source originale : https://www.huntress.com/blog/sonicwall-sslvpn-compromise

🖴 Archive : https://web.archive.org/web/20251013201407/https://www.huntress.com/blog/sonicwall-sslvpn-compromise