Depuis août 2023, les cyberattaques sur les comptes Azure et les vulnérabilités critiques des appareils IoT, comme les caméras PTZ, soulèvent de grandes inquiétudes. Découvrez les détails de ces menaces et comment protéger vos infrastructures.
Le botnet CovertNetwork-1658, connu aussi sous les noms de xlogin et Quad7, utilise des routeurs compromis pour mener des attaques de pulvérisation de mots de passe. Voici les détails techniques :
Ces campagnes sont attribuées à un groupe de cybercriminels, Storm-0940, surveillé par Microsoft. Ces attaquants exploitent les comptes Azure pour établir des points d’ancrage persistants, installer des RAT et exfiltrer des données sensibles.
Bien que leur activité ait ralenti grâce à l’attention des experts en cybersécurité, ils préparent une mise à jour de leur infrastructure pour échapper aux systèmes de détection.
Les caméras PTZ sont exposées à deux vulnérabilités critiques :
Aspect | Description | Impact | Solution/Recommandation |
---|---|---|---|
Botnet CovertNetwork-1658 | Un réseau d’appareils infectés (principalement des routeurs TP-Link SOHO), utilisé pour des attaques de pulvérisation de mots de passe sur Azure. | Compromission de comptes Azure. Accès aux données sensibles. Propagation de logiciels malveillants. | Activer l’authentification multifacteur (MFA). Surveiller les connexions suspectes. Utiliser des solutions comme Microsoft Defender for Cloud. |
Vulnérabilités CVE-2024-8956 et CVE-2024-8957 | Failles critiques dans les caméras réseau PTZ, permettant l’accès aux identifiants et la prise de contrôle total des appareils. | Visualisation et modification des flux vidéo. Ajout des appareils à des botnets DDoS. Accès non autorisé aux configurations. | Mettre à jour les micrologiciels des appareils IoT. Sécuriser les réseaux avec une segmentation efficace. Surveiller les appareils avec des solutions comme Zabbix ou GreyNoise. |
Technique de pulvérisation de mots de passe | Essais répétés de mots de passe courants sur de nombreux comptes, plutôt que sur un seul compte. | Augmentation des risques de compromission. Accès non autorisé à des infrastructures cloud critiques. | Utiliser des mots de passe complexes et uniques. Mettre en place des alertes pour les tentatives de connexion inhabituelles. Former les utilisateurs sur les bonnes pratiques en matière de mots de passe. |
Groupe Storm-0940 | Un groupe de cybercriminels opérant en Amérique du Nord et en Europe, responsable de l’exploitation du botnet CovertNetwork-1658. | Exfiltration de données sensibles. Installation de points d’ancrage persistants (RAT). Développement de chaînes d’attaques complexes. | Effectuer des audits de sécurité réguliers. Renforcer la sécurité des accès aux comptes cloud. Surveiller les activités inhabituelles sur les réseaux. |
Besoin d’un audit de sécurité ? Contactez-nous pour renforcer la sécurité de vos systèmes et protéger votre entreprise contre les cybermenaces.
Publié par ACI Technology, expert en cybersécurité et solutions IT.
Contactez-nous pour bénéficier de nos services managés et protéger vos infrastructures critiques.
Le botnet CovertNetwork-1658, également connu sous les noms de xlogin ou Quad7 (7777), est un réseau d’appareils infectés (principalement des routeurs TP-Link SOHO). Il est utilisé pour effectuer des attaques de pulvérisation de mots de passe sur les comptes Azure, permettant aux cybercriminels de voler des identifiants et d’infiltrer les réseaux.
Les comptes Azure contiennent souvent des données sensibles et permettent d’accéder à des infrastructures cloud critiques. Une fois compromis, les cybercriminels peuvent :
La pulvérisation de mots de passe, ou password spraying, est une méthode d’attaque brute force. Les attaquants testent un nombre limité de mots de passe courants sur de nombreux comptes, plutôt que de cibler un seul compte avec un grand nombre de mots de passe. Cela permet de réduire les chances de détection.
Les vulnérabilités CVE-2024-8956 et CVE-2024-8957 affectent les caméras réseau PTZ et permettent aux attaquants de :
Les appareils affectés incluent des caméras PTZ avec des versions de micrologiciel inférieures à 6.3.40, notamment ceux fabriqués par :
Ces caméras sont utilisées dans des contextes sensibles, comme les salles d’audience, les hôpitaux ou les environnements industriels.
Voici quelques recommandations :
Storm-0940 est un groupe de cybercriminels suivi par Microsoft. Ils sont responsables des attaques utilisant le botnet CovertNetwork-1658 pour cibler des comptes Azure, exfiltrer des données et installer des logiciels malveillants.
Oui, Microsoft a constaté une intensification des attaques en 2023, notamment celles utilisant des techniques de pulvérisation de mots de passe. Ces attaques sont souvent efficaces et difficiles à détecter, ce qui les rend particulièrement préoccupantes.
Voici quelques indices :
Chez ACI Technology, nous proposons :
👉 Contactez-nous dès aujourd’hui pour sécuriser votre entreprise !