Urgences 24 sur 7 – (888) 287-5858   Connexion au Portail TitanSupport    Contactez-nous      Blogue

Chasse aux menaces du mois : services distants externes exploités pour l’accès initial et la persistance

par | Avr 1, 2025

En mars 2025, les chasseurs de menaces de GoSecure ont enquêté sur une menace croissante ciblant les services distants externes, tels que les points d’accès RPV, le protocole « Remote Desktop » (RDP) et les interfaces de gestion de pare-feu, fréquemment exposés à l’Internet public. Une activité récente a révélé que des acteurs malveillants exploitant les vulnérabilités de Fortinet (CVE-2024-55591 et CVE-2025-24472) pour obtenir un accès non autorisé et créer des comptes d’administrateur persistants via des scripts d’automatisation. Ces tactiques reflètent les méthodes utilisées par des groupes de rançongiciels comme Play et LAPSUS$, qui s’appuient sur des identifiants volés et des services distants non protégés pour infiltrer les réseaux d’entreprise.

Pourquoi c’est important

Les services distants externes sont souvent nécessaires aux opérations de l’entreprise, mais s’ils ne sont pas correctement sécurisés, ils deviennent des cibles de grande valeur pour les acteurs de la menace. Une fois à l’intérieur du réseau, les attaquants peuvent établir une persistance, se déplacer latéralement et étendre leur emprise, souvent sans être détectés. L’exploitation des appareils Fortinet démontre une tendance dangereuse : les acteurs malveillants exploitent les vulnérabilités connues des infrastructures largement utilisées pour contourner les défenses du périmètre et maintenir un accès à long terme.

Détection et surveillance

GoSecure a émis l’hypothèse que les adversaires exploitaient les services distants exposés pour l’accès initial. Une règle de détection de gravité élevée a été développée pour détecter les comptes d’administrateur non autorisés créés via l’automatisation sur les appareils Fortinet :

Règle de détection : compte système persistant enregistré via un script d’automatisation

Description : Détecte lorsqu’un compte d’administrateur système est ajouté ou modifié par un script d’automatisation dans les pare-feux FortiGate, lié à l’activité observée à partir du groupe de menaces Mora_001.

Recommandations

Pour réduire l’exposition et atténuer la menace d’accès non autorisé via des services distants externes, GoSecure recommande les actions suivantes :

  • Limiter l’accès à distance : utilisez des pare-feux, des concentrateurs RPV et des passerelles RDP pour restreindre les accès externes inutiles.
  • Remplacer le RDP exposé : abandonnez le RDP natif ou les passerelles RDP au profit de RPV sécurisés ou de solutions d’accès à distance avec des contrôles avancés tels que MFA et l’accès conditionnel.
  • Segmentation du réseau : utilisez les DMZ, les infonuages privés virtuels (VPC) et la segmentation interne pour isoler les ressources critiques et limiter les mouvements latéraux.
  • Supprimer les services inutiles : désactivez ou désinstallez les services distants qui ne sont plus utilisés.
  • Activer l’authentification multifacteur (AMF) : appliquez l’authentification multifacteur sur tous les services externes, y compris les pare-feux et les RPV.
  • Sensibilisation des utilisateurs : Formez le personnel à ne pas stocker les informations d’identification professionnelles dans des coffres-forts personnels ou des navigateurs non sécurisés.

Conclusion

La chasse aux menaces de ce mois-ci souligne les risques posés par les points d’accès distants exposés et l’importance d’une détection et d’une réponse proactives. La Détection et réponse gérées et étendues GoSecure TitanMC (MXDR) surveille en permanence les signes d’accès non autorisé et les menaces persistantes, permettant une réponse rapide et une résilience accrue contre les opérations de rançongiciel et les adversaires avancés. Notre surveillance du Web caché permet d’identifier les informations d’identification compromises avant qu’elles ne puissent être exploitées, tandis que notre Défense du périmètre gérée GoSecure TitanMC (pare-feu) garantit que vos actifs externes sont continuellement protégés et renforcés contre les attaques.

Pour plus de détails ou pour parler à un expert en sécurité GoSecure, contactez-nous au (888)-287-5858 ou à info@gosecure.ai.

Restez en sécurité!

Votre équipe de chasse aux menaces GoSecure

Détection et réponse gérées et étendues GoSecure TitanMC (MXDR)

Détection et réponse gérées et étendues GoSecure TitanMC (MXDR) Fondation

Gestion des vulnérabilités en tant que service GoSecure TitanMC (VMaaS)

Surveillance des événements liés aux informations de sécurité gérée GoSecure TitanMC (SIEM gérée)

Défense du périmètre gérée GoSecure TitanMC (pare-feu)

Détection et réponse des boîtes de messagerie GoSecure TitanMC (IDR)

Passerelle de messagerie sécurisée GoSecure TitanMC (SEG)

Modélisateur de menaces GoSecure TitanMC

Identity GoSecure TitanMC

Plateforme GoSecure TitanMC

Services de sécurité professionnels de GoSecure

Services de réponse aux incidents

Évaluation de la maturité de la sécurité

Services de confidentialité

Services PCI DSS

Services de piratage éthique

Opérations de sécurité

MicrosoftLogo

GoSecure MXDR pour Microsoft

Visibilité et réponse complètes au sein de votre environnement de sécurité Microsoft

EN SAVOIR PLUS
OBTENEZ UNE SOUMISSION

CAS D'UTILISATION

Cyberrisques

Mesures de sécurité basées sur les risques

Sociétés de financement par capitaux propres

Prendre des décisions éclairées

Sécurité des données sensibles

Protéger les informations sensibles

Conformité en matière de cybersécurité

Respecter les obligations réglementaires

Cyberassurance

Une stratégie précieuse de gestion des risques

Rançongiciels

Combattre les rançongiciels grâce à une sécurité innovante

Attaques de type « zero-day »

Arrêter les exploits de type « zero-day » grâce à une protection avancée

Consolider, évoluer et prospérer

Prenez de l'avance et gagnez la course avec la Plateforme GoSecure TitanMC.

24/7 MXDR

Détection et réponse sur les terminaux GoSecure TitanMC (EDR)

Antivirus de nouvelle génération GoSecure TitanMC (NGAV)

Surveillance des événements liés aux informations de sécurité GoSecure TitanMC (SIEM)

Détection et réponse des boîtes de messagerie GoSecure TitanMC (IDR)

Intelligence GoSecure TitanMC

Notre SOC

Défense proactive, 24h/24, 7j/7

AICPA SOC Logo - Black

EN SAVOIR PLUS

À PROPOS DE GOSECURE

GoSecure est un leader et un innovateur reconnu en matière de cybersécurité, pionnier de l'intégration de la détection des menaces au niveau des terminaux, du réseau et des courriels en un seul service de détection et réponse gérées et étendues (MXDR). Depuis plus de 20 ans, GoSecure aide ses clients à mieux comprendre leurs failles en matière de sécurité et à améliorer leurs risques organisationnels ainsi que leur maturité en matière de sécurité grâce aux solutions MXDR et aux services professionnels fournis par l'une des équipes les plus fiables et les plus compétentes de l'industrie.

À propos

Direction

Conseil d'administration

Carrières

CALENDRIER D’ÉVÉNEMENTS

Apr 30 Dîner conférence avec GoSecure, Netskope et Abnormal Security – Montréal
May 8 Lancement OT Forescout : Concept POC avec GoSecure – Halifax
May 13 Fortinet TechExpo25
Voir le calendrier
GoSec

DERNIER COMMUNIQUÉ DE PRESSE

SALLE DE PRESSE GOSECURE
DEMANDER UN KIT MÉDIA

BLOGUE GOSECURE

LIRE LA SUITE

RESSOURCES

Livres blancs et rapports

Livres numériques

Études de cas

Fiches techniques et brochures

Webinaires et balados

Vidéos et infographies

Guides techniques

VOIR LA BIBLIOTHÈQUE

AVIS DE SÉCURITÉ

VOIR TOUS LES AVIS
Urgences 24 sur 7 – (888) 287-5858