BlueKeep, PrintNightmare ou Zerologon ? FIN12 a tenté d’exploiter les trois dans le cadre de son attaque contre le CHU de Rouen.
L’ANSSI attribue à ce groupe cybercriminel la responsabilité de l’incident en question, survenu en début d’année. Elle le désigne plus globalement comme à l’origine de nombreuses attaques survenues sur le territoire français, avec des ransomwares en bout de chaîne (nommément, Ryuk, Hive, Nokoyawa et Play).
Actif depuis au moins 2019, FIN12 a un temps recouru à Bazarloader pour l’accès initial. Il a finalement diversifié ses méthodes, privilégiant le recours à des authentifiants valides. C’est ainsi qu’il a pu s’infiltrer sur le SI du CHU de Brest. Le vecteur : un service de bureau à distance exposé et accessible sur Internet. Les authentifiants étaient probablement issus de la compromission du poste utilisateur.
Cet accès distant a permis d’exécuter les backdoors Cobalt Strike et SystemBC. Ont suivi des tentatives de modifier le mot de passe d’un compte local et de créer un utilisateur – sans succès – puis d’exploiter deux vulnérabilités, dont LocalPotato (CVE-2023-21746, dans le protocole NTLM).
Des marqueurs communs… jusqu’au dossier Musique de Windows
Pour tenter de récupérer d’autres données d’authentification, trois outils ont été mis à profit : AccountRestore (bruteforce Active Directory), SharpRoast (ciblant Kerberos) et Mimikatz (extraction d’authentifiants en environnement Windows). Trois autres ont alimenté la phase de découverte : Softperfect Network Scanner pour sonder le réseau et le duo PingCastle-BloodHound pour identifier les mauvaises configurations AD.