
Les actions post-compromission comprennent l'exfiltration de données, l'hameçonnage interne et externe, la fraude financière et la création de règles de boîte aux lettres pour masquer leurs traces. Les cybercriminels utilisent des proxys, des services d'hébergement de données et des domaines compromis pour obscurcir leur infrastructure opérationnelle. Bien que les acteurs ne soient pas identifiés, certains indices pointent vers une possible implication russe et nigériane.
« Les acteurs de la menace semblent se concentrer sur un large éventail de personnes occupant divers postes dans différentes organisations, ce qui a un impact sur des centaines d'utilisateurs dans le monde entier », indique un avis de Proofpoint. La base d'utilisateurs affectée englobe un large éventail de postes, les cibles fréquentes étant les directeurs des ventes, les responsables de comptes et les directeurs financiers. Les personnes occupant des postes de direction tels que "vice-président des opérations", "directeur financier et trésorier" et "président-directeur général" figuraient également parmi les cibles.
Fin novembre 2023, les chercheurs de Proofpoint ont détecté une nouvelle campagne malveillante, intégrant des techniques d'hameçonnage d'informations d'identification et de prise de contrôle de comptes dans le cloud (ATO). Dans le cadre de cette campagne, qui est toujours active, les acteurs de la menace ciblent les utilisateurs à l'aide de leurres d'hameçonnage individualisés dans des documents partagés. Par exemple, certains des documents utilisés comprennent des liens intégrés permettant de "voir le document" qui, à leur tour, redirigent les utilisateurs vers une page web d'hameçonnage malveillante lorsqu'ils cliquent sur l'URL.
En suivant les modèles de comportement et les techniques de l'attaque, nos analystes des menaces ont identifié des indicateurs de compromission spécifiques (IOC) associés à cette campagne. Il s'agit notamment de l'utilisation d'un agent utilisateur Linux spécifique utilisé par les cybercriminels au cours de la phase d'accès de la chaîne d'attaque.
Conséquences suite à une violation de sécurité
Un accès initial réussi conduit souvent à une séquence d'activités non autorisées après la compromission, y compris :
- Manipulation de l' l’authentification multifacteur. Les cybercriminels enregistrent leurs propres méthodes d'AMF pour conserver un accès permanent. Nous avons observé des cybercriminels qui choisissaient différentes méthodes d'authentification, y compris l'enregistrement de numéros de téléphone alternatifs pour l'authentification par SMS ou par appel téléphonique. Cependant, dans la plupart des cas de manipulation del’ l’authentification multifacteur, les cybercriminels ont préféré ajouter une application d'authentification avec notification et code ;
- Exfiltration de données. Les cybercriminels accèdent à des fichiers sensibles et les téléchargent, y compris des actifs financiers, des protocoles de sécurité internes et des informations d'identification des utilisateurs ;
- Hameçonnage interne et externe. L'accès à la boîte aux lettres est utilisé pour effectuer des mouvements latéraux au sein des organisations concernées et pour cibler des comptes d'utilisateurs spécifiques avec des menaces d'hameçonnage personnalisées ;
- Fraude financière. Dans le but de perpétrer des fraudes financières, des messages électroniques internes sont envoyés pour cibler les départements des ressources humaines et des finances au sein des organisations concernées ;
- Règles de boîte aux lettres. Les attaquants créent des règles d'obscurcissement spécifiques, destinées à masquer leurs traces et à effacer toute trace d'activité malveillante dans les boîtes aux lettres des victimes.
Infrastructure opérationnelle
L’étude criminalistique de l'attaque a mis en évidence plusieurs proxys, services d'hébergement de données et domaines détournés, qui constituent l'infrastructure opérationnelle des attaquants. Les cybercriminels ont été observés en train d'utiliser des services proxy pour aligner l'origine géographique apparente des activités non autorisées sur celle des victimes ciblées, évitant ainsi les politiques de géo-fencing. En outre, l'utilisation de services proxy fréquemment alternés permet aux acteurs de la menace de masquer leur véritable emplacement et crée un défi supplémentaire pour les défenseurs qui cherchent à bloquer les activités malveillantes.
Au-delà de l'utilisation de services proxy, les cybercriminels ont utilisé certains fournisseurs d'accès à Internet fixes locaux, ce qui pourrait révéler leur emplacement géographique. Parmi ces sources non proxy, on peut citer « Selena Telecom LLC », basé en Russie, et les fournisseurs nigérians « Airtel Networks Limited » et « MTN Nigeria ».
Bien que Proofpoint n'ait pas attribué cette campagne à un acteur connu, il est possible que des cybercriminels russes et nigérians soient impliqués, établissant ainsi un parallèle avec des attaques précédentes.
À la fin du mois de janvier, des pirates informatiques appartenant au groupe Midnight Blizzard, lié au renseignement russe, ont compromis le réseau de Microsoft en exploitant un ancien compte de test doté de privilèges administratifs. Leur méthode a impliqué l'utilisation de la technique de « password spraying » pour accéder à ce compte qui ne bénéficiait pas de l'authentification multifactorielle. Une fois infiltrés dans le système, ils ont abusé du protocole OAuth pour attribuer des droits d'accès à toutes les adresses électroniques du service de messagerie Office 365 de Microsoft.
L'escalade d'accès a été facilitée par une « grosse erreur de configuration » de Microsoft, permettant à un compte de test hérité d'obtenir des privilèges d'administrateur, bien que la raison de cette configuration et sa persistance n'aient pas été expliquées par les responsables de Microsoft. L'attaque s'est étendue sur deux mois, pendant lesquels les pirates ont surveillé les courriels de cadres supérieurs. D'autres organisations, dont Hewlett Packard Enterprises, ont également été affectées par les activités de Midnight Blizzard, qui ont utilisé des proxies résidentiels pour masquer leurs connexions, compliquant ainsi la détection basée sur les indicateurs de compromission.
Dans une communication ultérieure aux clients, Microsoft a fourni plus de détails sur la manière dont les pirates ont réalisé cette escalade d'accès. Identifiés comme appartenant au groupe Midnight Blizzard, les pirates ont obtenu un accès permanent aux comptes de messagerie privilégiés en exploitant le protocole d'autorisation OAuth, largement utilisé dans l'industrie pour permettre à diverses applications d'accéder aux ressources d'un réseau. Après la compromission, Midnight Blizzard a créé une application malveillante et lui a attribué des droits d'accès à toutes les adresses électroniques du service de messagerie Office 365 de Microsoft.
Les responsables de Microsoft ont présenté ces événements de manière obscure, minimisant l'ampleur de l'erreur. Ils ont expliqué que des acteurs de la menace, tels que Midnight Blizzard, compromettent des comptes d'utilisateurs pour altérer les autorisations d'applications OAuth, qu'ils peuvent ensuite utiliser à des fins malveillantes pour dissimuler leurs activités. L'abus d'OAuth permet également à ces acteurs de maintenir l'accès aux applications même après avoir perdu l'accès au compte initial compromis.
Midnight Blizzard a exploité son accès initial pour identifier et compromettre une ancienne application OAuth de test, lui conférant un accès élevé à l'environnement de l'entreprise Microsoft. Ils ont ensuite créé d'autres applications OAuth malveillantes, un nouveau compte utilisateur autorisant ces applications à accéder à l'environnement de l'entreprise. Enfin, les cybercriminels ont utilisé l'ancienne application OAuth de test pour lui attribuer le rôle Office 365 Exchange Online full_access_as_app, offrant ainsi un accès aux boîtes aux lettres.
Comment vérifier si vous êtes une cible
Il existe plusieurs signes révélateurs d'un ciblage. Le plus utile est un agent-utilisateur spécifique utilisé pendant la phase d'accès de l'attaque : Mozilla/5.0 (X11 ; Linux x86_64) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/120.0.0.0 Safari/537.36. Les cybercriminels utilisent principalement cet agent-utilisateur pour accéder à l'application de connexion "OfficeHome" ainsi qu'à d'autres applications natives de Microsoft365, telles que :
- Office365 Shell WCSS-Client (indicateur d'un accès par navigateur aux applications Office365) ;
- Office 365 Exchange Online (révélateur d'un abus de boîtes aux lettres, d'une exfiltration de données et d'une prolifération de menaces par courrier électronique après la compromission) ;
- My Signins (utilisé par les attaquants pour manipuler l’authentification multifacteur) ;
- Mes applications ;
- Mon profil.
L'incident décrit par Proofpoint met en lumière une sérieuse préoccupation en matière de sécurité pour les utilisateurs de Microsoft Azure, en particulier pour les cadres supérieurs et les organisations ciblées. La campagne sophistiquée d'hameçonnage démontre la nécessité de renforcer les protocoles de sécurité et la sensibilisation des utilisateurs au sein de l'écosystème Azure.
Toutefois, plusieurs...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.