Des centaines de comptes Microsoft Azure, certains appartenant à des cadres supérieurs, sont ciblés par des attaquants inconnus dans le cadre d'une campagne en cours visant à voler des données sensibles et des actifs financiers auprès de dizaines d'organisations, ont déclaré lundi des chercheurs de la société de sécurité Proofpoint.
La campagne tente de compromettre les environnements Azure ciblés en envoyant aux propriétaires de comptes des e-mails intégrant des techniques de phishing d’identifiants et de piratage de comptes. Pour ce faire, les auteurs de la menace combinent des leurres de phishing individualisés avec des documents partagés. Certains documents intègrent des liens qui, lorsqu'ils sont cliqués, redirigent les utilisateurs vers une page Web de phishing. Le large éventail de rôles ciblés indique la stratégie des acteurs de la menace consistant à compromettre les comptes ayant accès à diverses ressources et responsabilités au sein des organisations concernées.
« Les acteurs de la menace semblent se concentrer sur un large éventail d'individus détenant divers titres au sein de différentes organisations, affectant des centaines d'utilisateurs dans le monde », indique un avis de Proofpoint. « La base d'utilisateurs concernés englobe un large éventail de postes, avec des cibles fréquentes, notamment les directeurs commerciaux, les directeurs de comptes et les directeurs financiers. Les personnes occupant des postes de direction tels que « vice-président des opérations », « directeur financier et trésorier » et « président et chef de la direction » figuraient également parmi les personnes ciblées.
Une fois les comptes compromis, les acteurs malveillants les sécurisent en les inscrivant à diverses formes d’authentification multifactorielle. Cela peut rendre plus difficile pour les victimes de modifier leurs mots de passe ou d'accéder aux tableaux de bord pour examiner les connexions récentes. Dans certains cas, le MFA utilisé repose sur des mots de passe à usage unique envoyés par SMS ou appels téléphoniques. Toutefois, dans la plupart des cas, les attaquants utilisent une application d’authentification avec des notifications et du code.
Proofpoint a observé d'autres actions post-compromis, notamment :
- Exfiltration de données. Les attaquants accèdent et téléchargent des fichiers sensibles, notamment des actifs financiers, des protocoles de sécurité internes et des informations d'identification des utilisateurs.
- Phishing interne et externe. L'accès aux boîtes aux lettres est exploité pour effectuer des mouvements latéraux au sein des organisations concernées et pour cibler des comptes d'utilisateurs spécifiques avec des menaces de phishing personnalisées.
- Fraude financière. Dans le but de perpétrer une fraude financière, des messages électroniques internes sont envoyés aux services des ressources humaines et des finances des organisations concernées.
- Règles de boîte aux lettres. Les attaquants créent des règles d'obscurcissement dédiées destinées à brouiller leurs traces et à effacer toutes les preuves d'activités malveillantes des boîtes aux lettres des victimes.
Les compromissions proviennent de plusieurs proxys qui agissent comme intermédiaires entre l'infrastructure d'origine des attaquants et les comptes ciblés. Les proxys aident les attaquants à aligner l'emplacement géographique attribué à l'adresse IP de connexion avec la région de la cible. Cela permet de contourner diverses politiques de géolocalisation qui limitent le nombre et l'emplacement des adresses IP pouvant accéder au système ciblé. Les services proxy changent souvent en cours de campagne, une stratégie qui rend plus difficile pour ceux qui se défendent contre les attaques de bloquer les adresses IP d'où proviennent les activités malveillantes.
D'autres techniques conçues pour masquer l'infrastructure opérationnelle des attaquants incluent les services d'hébergement de données et les domaines compromis.
« Au-delà de l'utilisation de services proxy, nous avons vu des attaquants utiliser certains FAI de téléphonie fixe locaux, exposant potentiellement leurs emplacements géographiques », indique le message de lundi. « Parmi ces sources non proxy figurent notamment la société russe « Selena Telecom LLC », ainsi que les fournisseurs nigérians « Airtel Networks Limited » et « MTN Nigeria Communication Limited ». Bien que Proofpoint n’ait actuellement attribué cette campagne à aucun acteur malveillant connu, il est possible que des attaquants russes et nigérians soient impliqués, établissant des parallèles avec les précédentes attaques cloud.
Comment vérifier si vous êtes une cible
Il existe plusieurs signes révélateurs de ciblage. Le plus utile est un agent utilisateur spécifique utilisé pendant la phase d’accès de l’attaque : Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
Les attaquants utilisent principalement cet agent utilisateur pour accéder à l'application de connexion « OfficeHome » ainsi qu'un accès non autorisé à des applications Microsoft365 natives supplémentaires, telles que :
- Office365 Shell WCSS-Client (indicatif de l'accès du navigateur aux applications Office365)
- Office 365 Exchange Online (indicateur d'abus de boîtes aux lettres après compromission, d'exfiltration de données et de prolifération de menaces par courrier électronique)
- Mes identifiants (utilisés par les attaquants pour la manipulation MFA)
- Mes applications
- Mon profil
Proofpoint a inclus les indicateurs de compromission suivants :
Indicateur | Taper | Description |
Mozilla/5.0 (X11 ; Linux x86_64) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/120.0.0.0 Safari/537.36 | Agent utilisateur | Agent utilisateur impliqué dans la phase d'accès de l'attaque |
Mozilla/5.0 (Windows NT 10.0 ; Win64 ; x64) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/120.0.0.0 Safari/537.36 | Agent utilisateur | Agent utilisateur impliqué dans les phases d'accès et de post-accès de l'attaque |
Mozilla/5.0 (Windows NT 10.0 ; Win64 ; x64) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/119.0.0.0 Safari/537.36 | Agent utilisateur | Agent utilisateur impliqué dans les phases d'accès et de post-accès de l'attaque |
sachacel[.]ru | Domaine | Domaine utilisé pour les menaces de phishing ciblées |
Lobnia[.]com | Domaine | Domaine source utilisé comme infrastructure malveillante |
créer une application[.]aujourd'hui | Domaine | Domaine source utilisé comme infrastructure malveillante |
alexhost[.]com | Domaine | Domaine source utilisé comme infrastructure malveillante |
mole[.]ru | Domaine | Domaine source utilisé comme infrastructure malveillante |
singe intelligent[.]filet | Domaine | Domaine source utilisé comme infrastructure malveillante |
airtel[.]com | Domaine | Domaine source utilisé comme infrastructure malveillante |
mtnonligne[.]com | Domaine | Domaine source utilisé comme infrastructure malveillante |
acédatacenter[.]com | Domaine | Domaine source utilisé comme infrastructure malveillante |
Sokolov Dmitri Nikolaïevitch | FAI | FAI source utilisé comme infrastructure malveillante |
Dom Tehniki Ltd | FAI | FAI source utilisé comme infrastructure malveillante |
Selena Télécom LLC | FAI | FAI source utilisé comme infrastructure malveillante |
Au fur et à mesure que la campagne est en cours, Proofpoint peut mettre à jour les indicateurs à mesure que d'autres seront disponibles. L'entreprise a conseillé aux entreprises de porter une attention particulière à l'agent utilisateur et aux domaines sources des connexions entrantes aux comptes des employés. D'autres défenses utiles consistent à utiliser des défenses de sécurité qui recherchent à la fois les signes de compromission initiale du compte et d'activités post-compromises, à identifier les premiers vecteurs de compromission tels que le phishing, les logiciels malveillants ou l'usurpation d'identité, et à mettre en place des politiques de correction automatique pour chasser rapidement les attaquants. l'événement auquel ils participent.