Microsoft affirme qu’un courtier d’accès initial connu pour travailler avec des groupes de ransomwares s’est récemment tourné vers les attaques de phishing de Microsoft Teams pour pirater les réseaux d’entreprise.
Le groupe de menace à motivation financière derrière cette campagne est identifié comme Storm-0324, un acteur malveillant connu pour avoir déployé les ransomwares Sage et GandCrab dans le passé.
Storm-0324 a également permis au célèbre gang de cybercriminalité FIN7 d’accéder aux réseaux d’entreprise après les avoir compromis à l’aide de JSSLoader, Gozi et Nymaim.
FIN7 (alias Sangria Tempest et ELBRUS) a été vu en train de déployer le ransomware Clop sur les réseaux des victimes. Il était également auparavant lié aux ransomwares Maze et REvil avant les opérations de ransomware-as-a-service (Raas), aujourd’hui disparues, BlackMatter et DarkSide.
« En juillet 2023, Storm-0324 a commencé à utiliser des leurres de phishing envoyés via Teams avec des liens malveillants menant à un fichier malveillant hébergé sur SharePoint », a déclaré mardi Microsoft.
« Pour cette activité, Storm-0324 s’appuie très probablement sur un outil accessible au public appelé TeamsPhisher. »
Cet outil open source permet aux attaquants de contourner les restrictions relatives aux fichiers entrants provenant de locataires externes et d’envoyer des pièces jointes de phishing aux utilisateurs de Teams.
Pour ce faire, il exploite un problème de sécurité dans Microsoft Teams découvert par les chercheurs en sécurité de Jumpsec et que Microsoft a refusé de résoudre en juillet après avoir déclaré que la faille « ne répondait pas aux critères d’une maintenance immédiate ».
Néanmoins, le problème a également été exploité par APT29, la division de piratage du Service russe de renseignement extérieur (SVR), dans des attaques contre des dizaines d’organisations, y compris des agences gouvernementales du monde entier.
Bien que Microsoft n’ait pas fourni de détails sur l’objectif final des attaques de Storm-0324 cette fois-ci, les attaques d’APT29 visaient à voler les informations d’identification des cibles après les avoir incitées à approuver les invites d’authentification multifactorielle (MFA).
Aujourd’hui, l’entreprise a déclaré qu’elle s’efforçait depuis de mettre un terme à ces attaques et de protéger les clients Teams.
« Microsoft prend ces campagnes de phishing très au sérieux et a déployé plusieurs améliorations pour mieux se défendre contre ces menaces », a déclaré Microsoft.
Selon Redmond, les acteurs malveillants utilisant ces tactiques de phishing Teams sont désormais reconnus comme des utilisateurs « EXTERNES » lorsque l’accès externe est activé dans les paramètres d’une organisation.
« Nous avons également déployé des améliorations de l’expérience Accepter/Bloquer dans les discussions en tête-à-tête au sein de Teams, pour mettre l’accent sur l’externalité d’un utilisateur et de son adresse e-mail afin que les utilisateurs de Teams puissent mieux faire preuve de prudence en n’interagissant pas avec des expéditeurs inconnus ou malveillants. » Microsoft a déclaré.
« Nous avons déployé de nouvelles restrictions sur la création de domaines au sein des locataires et amélioré les notifications aux administrateurs des locataires lorsque de nouveaux domaines sont créés au sein de leur locataire. »
Après avoir détecté les attaques de phishing Teams de Storm-0324, Microsoft a suspendu tous les locataires et comptes utilisés dans la campagne.