Une campagne de phishing détectée fin novembre 2023 a compromis des centaines de comptes d’utilisateurs dans des dizaines d’environnements Microsoft Azure, y compris ceux de cadres supérieurs.
Les pirates ciblent les comptes des dirigeants car ils peuvent accéder aux informations confidentielles de l’entreprise, approuver eux-mêmes les transactions financières frauduleuses et accéder aux systèmes critiques pour les utiliser comme point de départ pour lancer des attaques plus étendues contre l’organisation violée ou ses partenaires.
L’équipe de réponse à la sécurité du Cloud de Proofpoint, qui surveille l’activité malveillante, a émis une alerte plus tôt dans la journée mettant en évidence les leurres utilisés par les acteurs de la menace et proposant des mesures de défense ciblées.
Détails de la campagne
Les attaques utilisent des documents envoyés à des cibles qui intègrent des liens déguisés en boutons « Afficher le document » qui dirigent les victimes vers des pages de phishing.
Proofpoint indique que les messages ciblent les employés qui sont plus susceptibles de détenir des privilèges plus élevés au sein de leur organisation employeur, ce qui augmente la valeur d’une compromission de compte réussie.
« La base d’utilisateurs affectée englobe un large éventail de postes, avec des cibles fréquentes, notamment des Directeurs commerciaux, des Directeurs de comptes et des directeurs financiers. Les personnes occupant des postes de direction tels que « Vice-président, Opérations », » Directeur financier et trésorier » et « Président et chef de la direction » figuraient également parmi les personnes ciblées », explique Proofpoint.
Les analystes ont identifié la chaîne d’agent utilisateur Linux suivante que les attaquants utilisent pour obtenir un accès non autorisé aux applications Microsoft365:
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
Cet agent utilisateur a été associé à diverses activités post-compromission, telles que la manipulation MFA, l’exfiltration de données, le phishing interne et externe, la fraude financière et la création de règles d’obscurcissement dans les boîtes aux lettres.
Proofpoint indique avoir observé un accès non autorisé aux composants Microsoft 365 suivants:
- Client CSS Shell Office 365: Indique l’accès du navigateur aux applications Office 365, suggérant une interaction basée sur le Web avec la suite.
- Office 365 Exchange Online: Montre que les attaquants ciblent ce service pour les abus liés à la messagerie, y compris l’exfiltration de données et le phishing latéral.
- Mes connexions: Utilisées par des attaquants pour manipuler l’authentification multifacteur (MFA).
- Mes applications: Ciblées pour accéder et éventuellement modifier les configurations ou les autorisations des applications dans l’environnement Microsoft 365.
- Mon profil: Indique les tentatives de modification des paramètres personnels et de sécurité de l’utilisateur, potentiellement pour maintenir un accès non autorisé ou augmenter les privilèges.
Proofpoint signale également que l’infrastructure opérationnelle des attaquants comprend des proxys, des services d’hébergement de données et des domaines piratés. Les proxys sont sélectionnés pour être proches des cibles afin de réduire la probabilité que les attaques soient bloquées par MFA ou d’autres politiques de géorepérage.
La firme de cybersécurité a également observé des preuves non concluantes que les attaquants pourraient être basés en Russie ou au Nigéria, sur la base de l’utilisation de certains fournisseurs de services Internet fixes locaux.
Comment se défendre
Proofpoint propose plusieurs mesures de défense pour se protéger contre la campagne en cours, ce qui peut aider à améliorer la sécurité organisationnelle dans les environnements Microsoft Azure et Office 365.
Les suggestions incluent:
- Surveillez l’utilisation de la chaîne d’agent utilisateur spécifique partagée ci-dessus et des domaines sources dans les journaux.
- Réinitialisez immédiatement les mots de passe compromis des comptes piratés et modifiez périodiquement les mots de passe de tous les utilisateurs.
- Utilisez des outils de sécurité pour détecter rapidement les événements de prise de contrôle de compte.
- Appliquez des mesures d’atténuation conformes aux normes de l’industrie contre le phishing, le forçage brutal et les attaques par pulvérisation de mots de passe.
- Mettez en œuvre des politiques de réponse automatique aux menaces.
- Ces mesures peuvent aider à détecter les incidents tôt, à réagir rapidement et à minimiser autant que possible les opportunités et les temps de séjour des attaquants.