Une campagne permanente compromet les comptes Azure des cadres supérieurs et les verrouille,

à l'aide de l'authentification multifacteur

Selon une étude menée par une grande société de sécurité informatique, 80 % des entreprises stockent des données sensibles dans le cloud, tandis que 53 % d'entre elles ont subi une cyberattaque sur leur infrastructure cloud au cours des 12 derniers mois. Une campagne en cours cible les comptes Microsoft Azure de cadres supérieurs, visant à compromettre des centaines de comptes et voler des données sensibles et des actifs financiers dans diverses organisations. Les cybercriminels utilisent des techniques sophistiquées d'hameçonnage, combinant des appâts personnalisés avec des documents partagés pour compromettre les environnements Azure. Une fois les comptes compromis, les auteurs de la menace mettent en place une authentification multifactorielle pour sécuriser l'accès.

Les actions post-compromission comprennent l'exfiltration de données, l'hameçonnage interne et externe, la fraude financière et la création de règles de boîte aux lettres pour masquer leurs traces. Les cybercriminels utilisent des proxys, des services d'hébergement de données et des domaines compromis pour obscurcir leur infrastructure opérationnelle. Bien que les acteurs ne soient pas identifiés, certains indices pointent vers une possible implication russe et nigériane.


« Les acteurs de la menace semblent se concentrer sur un large éventail de personnes occupant divers postes dans différentes organisations, ce qui a un impact sur des centaines d'utilisateurs dans le monde entier », indique un avis de Proofpoint. La base d'utilisateurs affectée englobe un large éventail de postes, les cibles fréquentes étant les directeurs des ventes, les responsables de comptes et les directeurs financiers. Les personnes occupant des postes de direction tels que "vice-président des opérations", "directeur financier et trésorier" et "président-directeur général" figuraient également parmi les cibles.

Fin novembre 2023, les chercheurs de Proofpoint ont détecté une nouvelle campagne malveillante, intégrant des techniques d'hameçonnage d'informations d'identification et de prise de contrôle de comptes dans le cloud (ATO). Dans le cadre de cette campagne, qui est toujours active, les acteurs de la menace ciblent les utilisateurs à l'aide de leurres d'hameçonnage individualisés dans des documents partagés. Par exemple, certains des documents utilisés comprennent des liens intégrés permettant de "voir le document" qui, à leur tour, redirigent les utilisateurs vers une page web d'hameçonnage malveillante lorsqu'ils cliquent sur l'URL.

En suivant les modèles de comportement et les techniques de l'attaque, nos analystes des menaces ont identifié des indicateurs de compromission spécifiques (IOC) associés à cette campagne. Il s'agit notamment de l'utilisation d'un agent utilisateur Linux spécifique utilisé par les cybercriminels au cours de la phase d'accès de la chaîne d'attaque.

Exemples d'événements de manipulation de l’authentification multifacteur, exécutés par des cybercriminels chez un utilisateur de cloud compromis.

Conséquences suite à une violation de sécurité

Un accès initial réussi conduit souvent à une séquence d'activités non autorisées après la compromission, y compris :

• Manipulation de l' l’authentification multifacteur. Les cybercriminels enregistrent leurs propres méthodes d'AMF pour conserver un accès permanent. Nous avons observé des cybercriminels qui choisissaient différentes méthodes d'authentification, y compris l'enregistrement de numéros de téléphone alternatifs pour l'authentification par SMS ou par appel téléphonique. Cependant, dans la plupart des cas de manipulation del’ l’authentification multifacteur, les cybercriminels ont préféré ajouter une application d'authentification avec notification et code ;
• Exfiltration de données. Les cybercriminels accèdent à des fichiers sensibles et les téléchargent, y compris des actifs financiers, des protocoles de sécurité internes et des informations d'identification des utilisateurs ;
• Hameçonnage interne et externe. L'accès à la boîte aux lettres est utilisé pour effectuer des mouvements latéraux au sein des organisations concernées et pour cibler des comptes d'utilisateurs spécifiques avec des menaces d'hameçonnage personnalisées ;
• Fraude financière. Dans le but de perpétrer des fraudes financières, des messages électroniques internes sont envoyés pour cibler les départements des ressources humaines et des finances au sein des organisations concernées ;
• Règles de boîte aux lettres. Les attaquants créent des règles d'obscurcissement spécifiques, destinées à masquer leurs traces et à effacer toute trace d'activité malveillante dans les boîtes aux lettres des victimes.

Exemples de règles d'obscurcissement de boîtes aux lettres créées par des cybercriminels à la suite d'une prise de contrôle réussie d'un compte.

Infrastructure opérationnelle

L’étude criminalistique de l'attaque a mis en évidence plusieurs proxys, services d'hébergement de données et domaines détournés, qui constituent l'infrastructure opérationnelle des attaquants. Les cybercriminels ont été observés en train d'utiliser des services proxy pour aligner l'origine géographique apparente des activités non autorisées sur celle des victimes ciblées, évitant ainsi les politiques de géo-fencing. En outre, l'utilisation de services proxy fréquemment alternés permet aux acteurs de la menace de masquer leur véritable emplacement et crée un défi supplémentaire pour les défenseurs qui cherchent à bloquer les activités malveillantes.

Au-delà de l'utilisation de services proxy, les cybercriminels ont utilisé certains fournisseurs d'accès à Internet fixes locaux, ce qui pourrait révéler leur emplacement géographique. Parmi ces sources non proxy, on peut citer « Selena Telecom LLC », basé en Russie, et les fournisseurs nigérians « Airtel Networks Limited » et « MTN Nigeria ».

Bien que Proofpoint n'ait pas attribué cette campagne à un acteur connu, il est possible que des cybercriminels russes et nigérians soient impliqués, établissant ainsi un parallèle avec des attaques précédentes.

À la fin du mois de janvier, des pirates informatiques appartenant au groupe Midnight Blizzard, lié au renseignement russe, ont compromis le réseau de Microsoft en exploitant un ancien compte de test doté de privilèges administratifs. Leur méthode a impliqué l'utilisation de la technique de « password spraying » pour accéder à ce compte qui ne bénéficiait pas de l'authentification multifactorielle. Une fois infiltrés dans le système, ils ont abusé du protocole OAuth pour attribuer des droits d'accès à toutes les adresses électroniques du service de messagerie Office 365 de Microsoft.

L'escalade d'accès a été facilitée par une « grosse erreur de configuration » de Microsoft, permettant à un compte de test hérité d'obtenir des privilèges d'administrateur, bien que la raison de cette configuration et sa persistance n'aient pas été expliquées par les responsables de Microsoft. L'attaque s'est étendue sur deux mois, pendant lesquels les pirates ont surveillé les courriels de cadres supérieurs. D'autres organisations, dont Hewlett Packard Enterprises, ont également été affectées par les activités de Midnight Blizzard, qui ont utilisé des proxies résidentiels pour masquer leurs connexions, compliquant ainsi la détection basée sur les indicateurs de compromission.

Dans une communication ultérieure aux clients, Microsoft a fourni plus de détails sur la manière dont les pirates ont réalisé cette escalade d'accès. Identifiés comme appartenant au groupe Midnight Blizzard, les pirates ont obtenu un accès permanent aux comptes de messagerie privilégiés en exploitant le protocole d'autorisation OAuth, largement utilisé dans l'industrie pour permettre à diverses applications d'accéder aux ressources d'un réseau. Après la compromission, Midnight Blizzard a créé une application malveillante et lui a attribué des droits d'accès à toutes les adresses électroniques du service de messagerie Office 365 de Microsoft.

Les responsables de Microsoft ont présenté ces événements de manière obscure, minimisant l'ampleur de l'erreur. Ils ont expliqué que des acteurs de la menace, tels que Midnight Blizzard, compromettent des comptes d'utilisateurs pour altérer les autorisations d'applications OAuth, qu'ils peuvent ensuite utiliser à des fins malveillantes pour dissimuler leurs activités. L'abus d'OAuth permet également à ces acteurs de maintenir l'accès aux applications même après avoir perdu l'accès au compte initial compromis.

Midnight Blizzard a exploité son accès initial pour identifier et compromettre une ancienne application OAuth de test, lui conférant un accès élevé à l'environnement de l'entreprise Microsoft. Ils ont ensuite créé d'autres applications OAuth malveillantes, un nouveau compte utilisateur autorisant ces applications à accéder à l'environnement de l'entreprise. Enfin, les cybercriminels ont utilisé l'ancienne application OAuth de test pour lui attribuer le rôle Office 365 Exchange Online full_access_as_app, offrant ainsi un accès aux boîtes aux lettres.

Comment vérifier si vous êtes une cible

Il existe plusieurs signes révélateurs d'un ciblage. Le plus utile est un agent-utilisateur spécifique utilisé pendant la phase d'accès de l'attaque : Mozilla/5.0 (X11 ; Linux x86_64) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/120.0.0.0 Safari/537.36. Les cybercriminels utilisent principalement cet agent-utilisateur pour accéder à l'application de connexion "OfficeHome" ainsi qu'à d'autres applications natives de Microsoft365, telles que :

• Office365 Shell WCSS-Client (indicateur d'un accès par navigateur aux applications Office365) ;
• Office 365 Exchange Online (révélateur d'un abus de boîtes aux lettres, d'une exfiltration de données et d'une prolifération de menaces par courrier électronique après la compromission) ;
• My Signins (utilisé par les attaquants pour manipuler l’authentification multifacteur) ;
• Mes applications ;
• Mon profil.

L'incident décrit par Proofpoint met en lumière une sérieuse préoccupation en matière de sécurité pour les utilisateurs de Microsoft Azure, en particulier pour les cadres supérieurs et les organisations ciblées. La campagne sophistiquée d'hameçonnage démontre la nécessité de renforcer les protocoles de sécurité et la sensibilisation des utilisateurs au sein de l'écosystème Azure.

Toutefois, plusieurs aspects méritent d'être examinés. Tout d'abord, la diversité des rôles ciblés suggère une approche multifacette de la part des cybercriminels, soulignant la complexité des défis auxquels les services cloud comme Azure sont confrontés en termes de sécurité. La capacité des cybercriminels à contourner les mesures de géofencing en utilisant des proxys souligne également les failles potentielles dans les défenses de Microsoft Azure.

Il est important de noter que la sécurité informatique est un défi constant pour toutes les grandes plateformes cloud. Cependant, la réaction et la résilience d'une plateforme face à de telles attaques sont cruciales. Il serait intéressant de comparer les pratiques de sécurité de Microsoft Azure avec celles de ses principaux concurrents, tels qu'Amazon Web Services (AWS) et Google Cloud Platform (GCP), pour évaluer la robustesse de leurs approches respectives.

Les trois principaux fournisseurs de services cloud, à savoir Amazon Web Services (AWS), Microsoft Azure et Google Cloud Platform (GCP) détiennent ensemble 62 % du marché de cloud computing, avec une croissance combinée de 42 % au premier trimestre 2022. Chacun offre des fonctionnalités de sécurité solides, telles que pare-feu, chiffrement en transit, gestion de la conformité, protection DDoS, et sécurité physique.

AWS, le plus ancien et le plus établi, se distingue par sa documentation claire, une place de marché étendue pour les modules tiers, un large réseau de partenaires, et une approche de responsabilité partagée claire. Microsoft Azure, le deuxième en termes de popularité, présente une approche centralisée de la gestion des identités et des accès (IAM) avec son Active Directory. Cependant, des problèmes de cohérence et de documentation moins claire sont mentionnés, ainsi qu'une gestion de l'accès des utilisateurs nécessitant un plus grand engagement de ressources.

Google Cloud Platform, le plus récent, offre des fonctionnalités prometteuses axées sur l'ingénierie et l'expertise mondiale. Il adopte également des configurations sécurisées par défaut et propose une approche centralisée de la gestion de la sécurité. Cependant, sa documentation est moins complète, et le marché des modules tiers est moins développé.

Chaque fournisseur a ses forces et faiblesses, ce qui souligne l'importance pour les entreprises de choisir en fonction de leurs besoins spécifiques en matière de sécurité, de gestion et de performance. L’incident présenté par Proofpoint souligne la nécessité d'une surveillance continue et de la mise en place de mécanismes plus robustes pour détecter et prévenir de telles attaques. Il est également crucial que les utilisateurs soient pleinement informés des meilleures pratiques de sécurité et des signes de compromission.

Source : Proofpoint

Et vous ?

Quel est votre avis sur le sujet ?

En quoi la capacité des cybercriminels à contourner les mesures de géofencing en utilisant des proxys souligne-t-elle les failles potentielles dans les défenses de Microsoft Azure ?

Comment la réaction et la résilience de Microsoft Azure face à cet incident se comparent-elles à celles de ses concurrents ?

Voir aussi :

Un compte de test Microsoft piraté s'est vu attribuer des privilèges d'administrateur, comment un compte de test hérité peut-il donner accès à la lecture de tous les comptes Office 365

Microsoft introduit une nouvelle fonctionnalité de sécurité pour la vérification des entreprises en ligne : Microsoft Entra Verified ID introduit la vérification faciale en avant-première

Microsoft monte une nouvelle équipe pour la modernisation de l'infrastructure cloud de M365 via Rust et ravive le débat sur la désignation de Rust comme meilleur gage de sécurisation des logiciels