Un incident récent a mis sous les projecteurs l’outil d’accès à distance largement utilisé, ScreenConnect. Le secteur de la santé, un domaine fréquemment ciblé, s’est retrouvé confronté à une menace importante. Les acteurs malveillants ont réussi à compromettre ScreenConnect pour exploiter plusieurs instances de Windows Server. Huntress, une importante entreprise de cybersécurité, a tiré la sonnette d’alarme après avoir détecté un accès non autorisé au sein du secteur de la santé. Ils ont mis au jour des preuves indiquant une reconnaissance interne et une préparation à d’autres activités malveillantes contre les organisations de soins de santé.

ScreenConnect, un outil d’accès et de contrôle à distance des ordinateurs, est populaire dans divers secteurs, notamment la santé. Il est utilisé pour le support technique et la gestion des systèmes à distance. Cependant, la récente violation met en évidence les dangers potentiels si ScreenConnect tombe entre de mauvaises mains. Toute cyberattaque ciblant les systèmes de santé met en danger d’énormes quantités de données clients.

L’enquête sur cet incident de cybersécurité révèle une exploitation ciblée d’une session ScreenConnect locale hébergée au sein du réseau d’une organisation pour obtenir un premier accès au réseau des victimes. La session ScreenConnect était hébergée localement par Transaction Data Systems, désormais connue sous le nom de Outcomes. Les attaquants, peut-être avec l’aide d’un initié, ont pris des mesures supplémentaires. Ensuite, ils ont non seulement violé la session ScreenConnect locale, mais ont également installé stratégiquement des outils supplémentaires, tels que d’autres instances de ScreenConnect et AnyDesk. Cette décision a assuré un accès et un contrôle continus sur les systèmes compromis sur une période prolongée.

Les enquêtes de Huntress sur la situation ont révélé un total de quatre instances de ScreenConnect sur deux points finaux d’attaque distincts. Ce qui ajoute une dimension intrigante, c’est que ces terminaux appartenaient à des organisations totalement différentes au sein du secteur de la santé. Ils ont identifié une instance ScreenConnect, appelée Instance B, présente sur les deux points de terminaison. De plus, l’exploit impliquait deux systèmes de serveur Windows.

Deux points finaux, l’un dans le secteur pharmaceutique et l’autre dans le secteur de la santé, partageaient la même instance ScreenConnect malveillante

En analysant les journaux du serveur, Huntress a déterminé que l’instance B de ScreenConnect téléchargeait activement une charge utile. Huntress déclare : « La charge utile, test.xml, consiste en du code C# dérivé du projet nps accessible au public pour l’évasion de la détection et l’exécution des processus. Telle que conçue, la charge utile tente de charger une instance Metasploit Meterpreter en mémoire, mais les protections anti-programme malveillant sur le système ont été identifiées et ont tenté de mettre fin à l’exécution. Cependant, cela ne semble pas avoir réussi, car des processus supplémentaires ont été observés lancés via le service Printer Spooler, spoolsv.exe

Cette instance a servi de canal aux attaquants pour effectuer plusieurs actions telles que l’installation de plus d’outils, l’exécution de commandes et le déplacement de fichiers. Notamment, les auteurs de la menace ont lié l’instance malveillante de ScreenConnect à un domaine associé à Systèmes de données transactionnelles. Cela suggère une compromission potentielle ou une mauvaise utilisation des outils de gestion à distance associés aux systèmes de données de transaction.

Ce lien soulève des questions cruciales. Cela indique-t-il une compromission complète des systèmes de données transactionnelles ? Les attaquants ont-ils obtenu les informations d’identification des employés ou un autre mécanisme est-il en jeu ? Alors que les organisations s’appuient sur des outils d’accès à distance pour gagner en efficacité, il devient plus critique que jamais de sécuriser ces outils contre d’éventuelles compromissions.

A lire également