Une campagne permanente compromet les comptes Azure des cadres supérieurs et les verrouille,

à l'aide de l'authentification multifacteur

Selon une étude menée par une grande société de sécurité informatique, 80 % des entreprises stockent des données sensibles dans le cloud, tandis que 53 % d'entre elles ont subi une cyberattaque sur leur infrastructure cloud au cours des 12 derniers mois. Une campagne en cours cible les comptes Microsoft Azure de cadres supérieurs, visant à compromettre des centaines de comptes et voler des données sensibles et des actifs financiers dans diverses organisations. Les cybercriminels utilisent des techniques sophistiquées d'hameçonnage, combinant des appâts personnalisés avec des documents partagés pour compromettre les environnements Azure. Une fois les comptes compromis, les auteurs de la menace mettent en place une authentification multifactorielle pour sécuriser l'accès.

Les actions post-compromission comprennent l'exfiltration de données, l'hameçonnage interne et externe, la fraude financière et la création de règles de boîte aux lettres pour masquer leurs traces. Les cybercriminels utilisent des proxys, des services d'hébergement de données et des domaines compromis pour obscurcir leur infrastructure opérationnelle. Bien que les acteurs ne soient pas identifiés, certains indices pointent vers une possible implication russe et nigériane.


« Les acteurs de la menace semblent se concentrer sur un large éventail de personnes occupant divers postes dans différentes organisations, ce qui a un impact sur des centaines d'utilisateurs dans le monde entier », indique un avis de Proofpoint. La base d'utilisateurs affectée englobe un large éventail de postes, les cibles fréquentes étant les directeurs des ventes, les responsables de comptes et les directeurs financiers. Les personnes occupant des postes de direction tels que "vice-président des opérations", "directeur financier et trésorier" et "président-directeur général" figuraient également parmi les cibles.

Fin novembre 2023, les chercheurs de Proofpoint ont détecté une nouvelle campagne malveillante, intégrant des techniques d'hameçonnage d'informations d'identification et de prise de contrôle de comptes dans le cloud (ATO). Dans le cadre de cette campagne, qui est toujours active, les acteurs de la menace ciblent les utilisateurs à l'aide de leurres d'hameçonnage individualisés dans des documents partagés. Par exemple, certains des documents utilisés comprennent des liens intégrés permettant de "voir le document" qui, à leur tour, redirigent les utilisateurs vers une page web d'hameçonnage malveillante lorsqu'ils cliquent sur l'URL.

En suivant les modèles de comportement et les techniques de l'attaque, nos analystes des menaces ont identifié des indicateurs de compromission spécifiques (IOC) associés à cette campagne. Il s'agit notamment de l'utilisation d'un agent utilisateur Linux spécifique utilisé par les cybercriminels au cours de la phase d'accès de la chaîne d'attaque.

Exemples d'événements de manipulation de l’authentification multifacteur, exécutés par des cybercriminels chez un utilisateur de cloud compromis.

Conséquences suite à une violation de sécurité

Un accès initial réussi conduit souvent à une séquence d'activités non autorisées après la compromission, y compris :

• Manipulation de l' l’authentification multifacteur. Les cybercriminels enregistrent leurs propres méthodes d'AMF pour conserver un accès permanent. Nous avons observé des cybercriminels qui choisissaient différentes méthodes d'authentification, y compris l'enregistrement de numéros de téléphone alternatifs pour l'authentification par SMS ou par appel téléphonique. Cependant, dans la plupart des cas de manipulation del’ l’authentification multifacteur, les cybercriminels ont préféré ajouter une application d'authentification avec notification et code ;
• Exfiltration de données. Les cybercriminels accèdent à des fichiers sensibles et les téléchargent, y compris des actifs financiers, des protocoles de sécurité internes et des informations d'identification des utilisateurs ;
• Hameçonnage interne et externe. L'accès à la boîte aux lettres est utilisé pour effectuer des mouvements latéraux au sein des organisations concernées et pour cibler des comptes d'utilisateurs spécifiques avec des menaces d'hameçonnage personnalisées ;
• Fraude financière. Dans le but de perpétrer des fraudes financières, des messages électroniques internes sont envoyés pour cibler les départements des ressources humaines et des finances au sein des organisations concernées ;
• Règles de boîte aux lettres. Les attaquants créent des règles d'obscurcissement spécifiques, destinées à masquer leurs traces et à effacer toute trace d'activité malveillante dans les boîtes aux lettres des victimes.

Exemples de règles d'obscurcissement de boîtes aux lettres créées par des cybercriminels à la suite d'une prise de contrôle réussie d'un compte.

Infrastructure opérationnelle

L’étude criminalistique de l'attaque a mis en évidence plusieurs proxys, services d'hébergement de données et domaines détournés, qui constituent l'infrastructure opérationnelle des attaquants. Les cybercriminels ont été observés en train d'utiliser des services proxy pour aligner l'origine géographique apparente des activités non autorisées sur celle des victimes ciblées, évitant ainsi les politiques de géo-fencing. En outre, l'utilisation de services proxy fréquemment alternés permet aux acteurs de la menace de masquer leur véritable emplacement et crée un défi supplémentaire pour les défenseurs qui cherchent à bloquer les activités malveillantes.

Au-delà de l'utilisation de services proxy, les cybercriminels ont utilisé certains fournisseurs d'accès à Internet fixes locaux, ce qui pourrait révéler leur emplacement géographique. Parmi ces sources non proxy, on peut citer « Selena Telecom LLC », basé en Russie, et les fournisseurs nigérians « Airtel Networks Limited » et « MTN Nigeria ».

Bien que Proofpoint n'ait pas attribué cette campagne à un acteur connu, il est possible que des cybercriminels russes...