Des chercheurs ont mis au jour une campagne soutenue et continue menée par des espions russes qui utilisent une technique astucieuse d'hameçonnage par code d'appareil pour détourner des comptes Microsoft 365Les chercheurs en menaces de Microsoft ont découvert une série de ce qu'ils appellent des attaques de phishing par « code d'appareil » qui ont permis à un groupe de menaces présumé allié à la Russie d'accéder à des organisations d'infrastructures critiques et de leur voler des données, a déclaré l'entreprise dans un récent rapport.
Ces attaques récemment découvertes semblent suivre un modèle de cyberespionnage lié à la Russie déjà observé par le passé. En effet, Microsoft a révélé en 2023 que des pirates informatiques liés à la Russie étaient à l'origine de dizaines d'attaques par hameçonnage via Teams. La campagne, que Microsoft a qualifiée de « très ciblée », aurait touché un peu moins d'une quarantaine d'organisations dans le monde, dont des agences gouvernementales et des entreprises du secteur privé.
L'actuel groupe de menaces, que Microsoft suit sous le nom de Storm-2372, a ciblé des gouvernements, des services informatiques et des organisations opérant dans les secteurs des télécommunications, de la santé, de l'enseignement supérieur et de l'énergie en Europe, en Amérique du Nord, en Afrique et au Moyen-Orient.
Microsoft a observé que les attaquants généraient une demande légitime d'authentification par code d'appareil, puis dupaient les utilisateurs ciblés pour qu'ils saisissent le code dans une page de connexion à des applications de productivité. En exploitant le flux d'authentification du code d'appareil, Storm-2372 a pu accéder aux systèmes ciblés, capturer des jetons d'authentification et utiliser ces jetons valides pour effectuer des mouvements latéraux et voler des données.
« Ces attaques ont été couronnées de succès, bien que Microsoft elle-même ne soit pas touchée », a déclaré Sherrod DeGrippo, directrice de la stratégie de renseignement sur les menaces chez Microsoft, dans une vidéo résumant les conclusions du rapport.
Des courriels d'hameçonnage déguisés en invitations à des réunions Teams
Storm-2372 a probablement mis en place des leurres de phishing en ciblant des victimes potentielles via des applications de messagerie, telles que Microsoft Teams, WhatsApp et Signal. Microsoft a observé que les attaquants se faisaient passer pour une personne importante afin d'établir un faux rapport avec les cibles avant d'envoyer des e-mails de phishing de suivi déguisés en invitations à des réunions Microsoft Teams.
Les fausses invitations à des réunions Teams ont incité les cibles à remplir une demande d'authentification du code d'appareil avec le code Storm-2372 inclus comme faux identifiant de la réunion. Selon Microsoft, cette chaîne d'attaque a permis à Storm-2372 d'obtenir un accès initial aux comptes des victimes, ce qui a permis aux attaquants d'utiliser la session valide pour se déplacer latéralement au sein du réseau compromis.
Les chercheurs ont observé que les attaquants envoyaient à d'autres utilisateurs des courriels d'hameçonnage intra-organisationnels contenant des demandes d'authentification du code d'appareil à partir du compte compromis, ce qui a élargi l'étendue de l'accès au réseau.
Le groupe de menace suspecté d'œuvrer pour l'État-nation russe a également utilisé Microsoft Graph pour récupérer des courriels et rechercher des messages contenant des mots-clés, tels que nom d'utilisateur, mot de passe, admin, teamviewer, anydesk, credentials, secret, ministry et gov. « Microsoft a ensuite observé l'exfiltration, via Microsoft Graph, des courriels trouvés lors de ces recherches », indique le rapport.
Microsoft a déclaré que les techniques utilisées par Storm-2372 pouvaient permettre un accès persistant tant que les jetons restaient valides.
La taxonomie Storm est une désignation temporaire que Microsoft attribue à des groupes de menaces inconnues ou émergentes. Le Centre de renseignement sur les menaces de Microsoft a un niveau de confiance moyen dans le fait que Storm-2372 s'aligne sur les intérêts de la Russie.
Des techniques déjà adoptées par des groupes de menaces russes
Les activités de Storm-2372 se chevauchent avec celles d'autres groupes de menace utilisant des techniques similaires., mais semblent distinctes de ces groupes. Fin janvier, les chercheurs de Volexity ont repéré un trio de groupes de menaces étatiques russes utilisant des attaques de phishing par code d'appareil pour accéder à des comptes Microsoft 365 très ciblés.
Volexity a observé des activités post-exploitation uniques dans le cadre de ces attaques, mais toutes les compromissions étaient liées à des leurres d'hameçonnage avec authentification du code d'appareil, a déclaré la société de renseignement sur les menaces dans une étude publiée le jeudi 13 février.
Volexity attribue avec une confiance moyenne l'une des activités du groupe de menace basé en Russie à Midnight Blizzard, un groupe qu'il suit sous le nom de CozyLarch. Les chercheurs reconnaissent que toutes les activités pourraient être attribuées au même groupe de menace, mais en raison des différences dans les opérations, ils suivent les autres groupes d'activités comme UTA0304 et UTA0307.
Dans une attaque très ciblée contre un client de Volexity, un pirate prétendant être un haut fonctionnaire du ministère ukrainien de la défense a contacté la victime sur Signal, puis lui a envoyé un courrier électronique conçu pour ressembler à une invitation à une discussion sur l'application de messagerie Element.
Les chercheurs de Volexity ont déterminé que l'attaquant a ensuite dupé la victime en l'incitant à cliquer sur un lien dans un courriel feignant d'être une invitation à un salon de discussion sécurisé, mais au lieu de cela, il a incité la victime à générer un code d'appareil qui a permis à l'attaquant d'accéder au compte de la victime.
Alors que Microsoft continue de faire face à la menace persistante des acteurs malveillants, l'entreprise a révélé au début de l'année 2024 que des pirates russes sont parvenus à voler le code source de Microsoft, après avoir espionné les comptes de messagerie de certains membres de son équipe dirigeante. Cette attaque, attribuée au même groupe que celui responsable du piratage de SolarWinds en 2020, a suscité des inquiétudes quant aux pratiques de sécurité de l'entreprise.
Sources : Rapport de Microsoft ; Sherrod DeGrippo, directrice de la stratégie de renseignement sur les menaces chez Microsoft
Et vous ?
Quel est votre avis sur le sujet ? Selon vous, les mesures de mitigation et de protection actuelles sont-elles pertinentes pour contrer ces attaques ?Voir aussi :
Les courriels de phishing générés par l'IA deviennent très efficaces pour cibler les cadres, les courriels hyper-personnalisés utilisent une immense quantité de données récupérées Cyberattaque majeure : Microsoft révèle que des criminels russes ont volé encore plus d'e-mails que ce qui avait été initialement admis, suscitant des inquiétudes quant à la sécurité nationale des États-Unis Microsoft poursuit un groupe "hacking-as-a-service" pour avoir créé des contenus illicites avec sa plateforme cloud d'IA Azure OpenAI, qui utilisait des API non documentées pour contourner les sécurités
Vous avez lu gratuitement 3 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.