Le 18 septembre 2023, l’ANSSI
a publié un rapport sur l’acteur de la menace FIN12
l’associant à la tentative de compromission du centre hospitalier universitaire de Brest de mars 2023.
Lors de la cyber-attaque, les attaquants n’ont pas pu exfiltrer de données ni déployer de ransomware, toutefois, l’investigation a permis d’identifier plusieurs actions malveillantes dont l’accès initial au système d’information. Depuis un service de bureau à distance, les cybercriminels ont réussi à obtenir des informations d’identification d’un professionnel de santé à la suite d’une campagne de phishing distribuant un infostealer
.
Ils ont également tenté d’élever leurs privilèges ainsi que de se latéraliser via l’exploitation de multiples vulnérabilités :
LocalPotato
(CVE-2023-21746 et CVE-2022-24521) ;PrintNightmare
(CVE-2021-34527) ;BlueKeep
(CVE-2019-0708) ;ZeroLogon
(CVE-2020-1472).
Par l’intermédiaire de leurs investigations, les chercheurs de l’ANSSI
ont pu établir des liens de TTPs et d’infrastructure entre FIN12 et un ensemble d’attaques par ransomware dont certaines liées à l’acteur de la menace nommé Pistache Tempest
(alias DEV-0237
).
FIN12
, actif depuis au moins 2019, s’est affilié successivement à plusieurs Ransomware-as-a-Service
(RaaS
) tels que :
Ryuk
;Conti
;Hive
;Nokoyawa
;Play
;BlackCat/Alphv
;Agenda
;Mindwar
;
Indicateurs de compromissions :
file:8a0743f17110dc945007f08f3e63da166a3937dc
file:9e2737994aa8bf0d6900e5369d51978adc4c02f9
file:364a4d9ea6f88eec098b13728fce2c1ead94c48d
file:8291929d6f3ede6ec025c21d1559a7fe9d30a9ce
file:70ad1a42ce05404c00513989c949c83a94feca92
file:28400c267815762e49c200e8b481a592c67f9cf7
file:d65969088eb8f6098c33c5427a650e8576cdbfa6
file:eeaf29a71330db50cdd4630f8d9f1c2b6a34578c
file:292629c6ab33bddf123d26328025e2d157d9e8fc
file:536734aa6ec0f0b1ba8e43088edc6857eca42667
file:e2a68116d52182f207c087f349e04e049982d431
file:fae6068d4433b33751bf7de866d7f2900aa15139
file:d69420a636dacfbafaf01f7153692c197e9b6400
file:68a07540fbf58fe743636b7fc8f0370c84134eb3
file:58cb839dbc0232874b6fed9a354d4cc6d355cbac
file:1e0ec6994400413c7899cd5c59bdbd6397dea7b5
file:35ff55bcf493e1b936dc6e978a981ee2a75543a1
file:a00ebf699ea0759e7bf4af65dddd741133c38484
file:df12386df2c0fcf65522282914424d63da962d79
domain:getinteriorartstudio[.]com
domain:performernews[.]com
domain:texasflooddesign[.]com
domain:tumbleproperty[.]com
domain:purpleinfluenceonline[.]com
domain:realversedesign[.]com
domain:tributepower[.]com
domain:youthconscience[.]com
domain:herbswallow[.]com
domain:jacketsupport[.]com
domain:psychologymax[.]com
domain:mirrordirectory[.]com
ipv4:149[.]28[.]197[.]120
ipv4:149[.]28[.]213[.]157
Références :
https://www.cert.ssi.gouv.fr/uploads/CERTFR-2023-CTI-007.pdf
https://www.cert.ssi.gouv.fr/ioc/CERTFR-2023-IOC-001/