Des courriels d'hameçonnage déguisés en invitations à des réunions Teams

Des techniques déjà adoptées par des groupes de menaces russes



Ces attaques récemment découvertes semblent suivre un modèle de cyberespionnage lié à la Russie déjà observé par le passé. En effet, Microsoft a révélé en 2023 que des pirates informatiques liés à la Russie étaient à l'origine de dizaines d'attaques par hameçonnage via Teams . La campagne, que Microsoft a qualifiée de « très ciblée », aurait touché un peu moins d'une quarantaine d'organisations dans le monde, dont des agences gouvernementales et des entreprises du secteur privé.L'actuel groupe de menaces, que Microsoft suit sous le nom de Storm-2372, a ciblé des gouvernements, des services informatiques et des organisations opérant dans les secteurs des télécommunications, de la santé, de l'enseignement supérieur et de l'énergie en Europe, en Amérique du Nord, en Afrique et au Moyen-Orient.Microsoft a observé que les attaquants généraient une demande légitime d'authentification par code d'appareil, puis dupaient les utilisateurs ciblés pour qu'ils saisissent le code dans une page de connexion à des applications de productivité. En exploitant le flux d'authentification du code d'appareil, Storm-2372 a pu accéder aux systèmes ciblés, capturer des jetons d'authentification et utiliser ces jetons valides pour effectuer des mouvements latéraux et voler des données.« Ces attaques ont été couronnées de succès, bien que Microsoft elle-même ne soit pas touchée », a déclaré Sherrod DeGrippo, directrice de la stratégie de renseignement sur les menaces chez Microsoft, dans une vidéo résumant les conclusions du rapport.Storm-2372 a probablement mis en place des leurres de phishing en ciblant des victimes potentielles via des applications de messagerie, telles que Microsoft Teams, WhatsApp et Signal. Microsoft a observé que les attaquants se faisaient passer pour une personne importante afin d'établir un faux rapport avec les cibles avant d'envoyer des e-mails de phishing de suivi déguisés en invitations à des réunions Microsoft Teams.Les fausses invitations à des réunions Teams ont incité les cibles à remplir une demande d'authentification du code d'appareil avec le code Storm-2372 inclus comme faux identifiant de la réunion. Selon Microsoft, cette chaîne d'attaque a permis à Storm-2372 d'obtenir un accès initial aux comptes des victimes, ce qui a permis aux attaquants d'utiliser la session valide pour se déplacer latéralement au sein du réseau compromis.Les chercheurs ont observé que les attaquants envoyaient à d'autres utilisateurs des courriels d'hameçonnage intra-organisationnels contenant des demandes d'authentification du code d'appareil à partir du compte compromis, ce qui a élargi l'étendue de l'accès au réseau.Le groupe de menace suspecté d'œuvrer pour l'État-nation russe a également utilisé Microsoft Graph pour récupérer des courriels et rechercher des messages contenant des mots-clés, tels que nom d'utilisateur, mot de passe, admin, teamviewer, anydesk, credentials, secret, ministry et gov. « Microsoft a ensuite observé l'exfiltration, via Microsoft Graph, des courriels trouvés lors de ces recherches », indique le rapport.Microsoft a déclaré que les techniques utilisées par Storm-2372 pouvaient permettre un accès persistant tant que les jetons restaient valides.La taxonomie Storm est une désignation temporaire que Microsoft attribue à des groupes de menaces inconnues ou émergentes. Le Centre de renseignement sur les menaces de Microsoft a un niveau de confiance moyen dans le fait que Storm-2372 s'aligne sur les intérêts de la Russie.Les activités de Storm-2372 se chevauchent avec celles d'autres groupes de menace utilisant des techniques similaires., mais semblent distinctes de ces groupes. Fin janvier, les chercheurs de Volexity ont repéré un trio de groupes de menaces étatiques russes utilisant des attaques de phishing par code d'appareil pour accéder à des comptes Microsoft 365 très ciblés.Volexity a observé des activités post-exploitation uniques dans le cadre de ces attaques, mais toutes les compromissions étaient liées à des leurres d'hameçonnage avec authentification du code d'appareil, a déclaré la société de renseignement sur les menaces dans une étude publiée le jeudi 13 février.Volexity attribue avec une confiance moyenne l'une des activités du groupe de menace basé en Russie à Midnight Blizzard, un groupe qu'il suit sous le nom de CozyLarch. Les chercheurs reconnaissent que toutes les activités pourraient être attribuées au même groupe de menace, mais en raison des différences dans les opérations, ils suivent les autres groupes d'activités comme UTA0304 et UTA0307.Dans une attaque très ciblée contre un client de Volexity, un pirate prétendant être un haut fonctionnaire du ministère ukrainien de la défense a contacté la victime sur Signal, puis lui a envoyé un courrier électronique conçu pour ressembler à une invitation à une discussion sur l'application de messagerie Element.Les chercheurs de Volexity ont déterminé que l'attaquant a ensuite dupé la victime en l'incitant à cliquer sur un lien dans un courriel feignant d'être une invitation à un salon de discussion sécurisé, mais au lieu de cela, il a incité la victime à générer un code d'appareil qui a permis à l'attaquant d'accéder au compte de la victime.Alors que Microsoft continue de faire face à la menace persistante des acteurs malveillants, l'entreprise a révélé au début de l'année 2024 que des pirates russes sont parvenus à voler le code source de Microsoft , après avoir espionné les comptes de messagerie de certains membres de son équipe dirigeante. Cette attaque, attribuée au même groupe que celui responsable du piratage de SolarWinds en 2020, a suscité des inquiétudes quant aux pratiques de sécurité de l'entreprise.Quel est votre avis sur le sujet ?Selon vous, les mesures de mitigation et de protection actuelles sont-elles pertinentes pour contrer ces attaques ?