Les auteurs de menaces russes ont abusé des flux de travail légitimes d’authentification OAuth 2.0 pour détourner les comptes Microsoft 365 des employés d’organisations liées à l’Ukraine et aux droits de l’homme.
L’adversaire se fait passer pour des fonctionnaires de pays européens et contacte des cibles via WhatsApp et des plateformes de messagerie Signal. Le but est de convaincre les victimes potentielles de fournir des codes d’autorisation Microsoft qui donnent accès aux comptes, ou de cliquer sur des liens malveillants qui collectent des identifiants et des codes d’accès uniques.
La société de cybersécurité Volexity a observé cette activité depuis début mars, juste après une opération similaire, signalée en février par Volexity et Microsoft, qui utilisait le phishing par authentification par code d’appareil pour voler des comptes Microsoft 365.
Volexity suit les acteurs de la menace responsables des deux campagnes UTA0352 et UTA0355 et admet avec une confiance moyenne qu’ils sont tous les deux russes.
Flux d’attaque
Dans un rapport publié aujourd’hui, les chercheurs décrivent l’attaque comme commençant par un message sur Signal ou WhatsApp. Volexity note que dans un cas, la communication provenait d’un compte compromis du gouvernement ukrainien.
L’attaquant se fait passer pour des responsables politiques européens ou des diplomates ukrainiens et attire des cibles avec des invitations à des réunions vidéo privées pour discuter des affaires liées à l’Ukraine.
Une fois le canal de communication établi, l’attaquant envoie une URL de phishing OAuth sous prétexte qu’elle est nécessaire pour rejoindre l’appel vidéo.
UTA0352 peut partager des instructions pour rejoindre la réunion sous la forme d’un fichier PDF avec une URL malveillante conçue pour connecter l’utilisateur à Microsoft et à des applications tierces qui utilisent les flux de travail Microsoft 365 OAuth.
Une fois la cible authentifiée, elle est » redirigée vers une version intégrée au navigateur de Visual Studio Code, hébergée chez insiders.vscode.dev », expliquent les chercheurs.
La page de destination peut recevoir des paramètres de connexion de Microsoft 365, qui incluent OAuth et la cible verra la boîte de dialogue ci-dessous:
En utilisant l’ingénierie sociale, l’attaquant tente d’inciter la victime à renvoyer le code ci-dessus, sous prétexte qu’il est nécessaire pour rejoindre la réunion.
Cependant, la chaîne est un code d’autorisation valable 60 jours qui peut être utilisé pour obtenir un jeton d’accès pour « toutes les ressources normalement disponibles pour l’utilisateur. »
« Il convient de noter que ce code est également apparu dans le cadre de l’URI dans la barre d’adresse. Le code Visual Studio semble avoir été configuré pour faciliter l’extraction et le partage de ce code, alors que la plupart des autres instances conduiraient simplement à des pages vierges », explique Volexity.
Les chercheurs ont simplifié dans le diagramme suivant le flux d’attaque ciblant les utilisateurs en s’appuyant sur une application propriétaire Visual Studio Code:
La recherche note qu’il existe des variantes plus anciennes de la récente attaque de phishing, où l’attaquant utilisait un format pour AzureAD v1.0 au lieu de la v2.0, les différences consistant en les paramètres d’URL utilisés.
La campagne d’avril attribuée à UTA0355 est similaire à celle de UTA0352, mais la communication initiale provenait d’un compte de messagerie du gouvernement ukrainien compromis et l’attaquant a utilisé le « code d’autorisation OAuth volé pour enregistrer un nouvel appareil sur l’identifiant Microsoft Entra de la victime (anciennement Azure Active Directory).). »
Les chercheurs de Volexity affirment qu’une fois l’appareil enregistré, ils ont dû convaincre la cible d’approuver la demande d’authentification à deux facteurs (2FA) pour pouvoir accéder au courrier électronique de la victime.
Pour y parvenir, l’acteur de la menace a fait de l’ingénierie sociale à sa manière en disant que le code 2FA était nécessaire pour « accéder à une instance SharePoint associée à la conférence. »
Cette dernière étape donne à l’attaquant un jeton pour accéder aux informations et aux courriels de la victime, mais également un appareil nouvellement enregistré pour maintenir un accès non autorisé pendant une période plus longue.
« Dans les journaux examinés par Volexity, l’enregistrement initial de l’appareil a réussi peu de temps après l’interaction avec l’attaquant. L’accès aux données de messagerie s’est produit le lendemain, c’est-à-dire lorsque UTA0355 avait conçu une situation dans laquelle leur demande 2FA serait approuvée », déclarent les chercheurs de Volexity.
Pour se protéger contre de telles attaques, Volexity conseille de mettre en place des alertes sur les connexions à l’aide du code Visual Studio client_id, bloquer l’accès aux initiés.vscode.développement et vscode-redirect.azurewebsites.net ».
Les chercheurs recommandent également de mettre en place des politiques d’accès conditionnel pour limiter l’accès aux appareils approuvés uniquement.