Microsoft a confirmé que le groupe de piratage des Services de renseignement étrangers russes, qui a piraté les comptes de messagerie de ses dirigeants en novembre 2023, a également violé d’autres organisations dans le cadre de cette campagne malveillante.
Midnight Blizzard (alias Nobelium, ou APT29) serait un groupe de cyberespionnage soutenu par l’État lié au Service de renseignement extérieur russe (SVR), ciblant principalement les organisations gouvernementales, les ONG, les développeurs de logiciels et les fournisseurs de services informatiques aux États-Unis et en Europe.
Le 12 janvier 2024, Microsoft a découvert que les pirates informatiques russes avaient violé ses systèmes en novembre 2023 et volé des courriels à leurs équipes de direction, de cybersécurité et juridiques. Certains de ces courriels contenaient des informations sur le groupe de piratage lui-même, permettant aux auteurs de menaces d’apprendre ce que Microsoft savait à leur sujet.
Microsoft explique maintenant que les auteurs de la menace ont utilisé des proxys résidentiels et des attaques par force brute de « pulvérisation de mots de passe » pour cibler un petit nombre de comptes, l’un de ces comptes étant un « compte locataire de test hérité et non de production ». »
« Dans cette activité observée de Blizzard de minuit, l’acteur a adapté ses attaques par pulvérisation de mots de passe à un nombre limité de comptes, en utilisant un faible nombre de tentatives pour échapper à la détection et éviter les blocages de comptes en fonction du volume d’échecs », explique une mise à jour de Microsoft.
Lorsque Microsoft a révélé la violation pour la première fois, beaucoup se sont demandé si l’authentification multifacteur était activée sur ce compte de test et comment un compte hérité de test aurait suffisamment de privilèges pour se propager latéralement à d’autres comptes de l’organisation.
Microsoft a maintenant confirmé que l’authentification multifacteur n’était pas activée pour ce compte, permettant aux auteurs de menaces d’accéder aux systèmes de Microsoft une fois qu’ils ont forcé brutalement le mot de passe correct.
Microsoft explique également que ce compte de test avait accès à une application OAuth avec un accès élevé à l’environnement d’entreprise de Microsoft. Cet accès élevé a permis aux auteurs de menaces de créer des applications OAuth supplémentaires pour accéder à d’autres boîtes aux lettres d’entreprise, comme expliqué ci-dessous.
Midnight Blizzard a exploité son accès initial pour identifier et compromettre une application OAuth de test héritée qui avait un accès élevé à l’environnement d’entreprise Microsoft. L’acteur a créé d’autres applications OAuth malveillantes.
Ils ont créé un nouveau compte d’utilisateur pour accorder leur consentement dans l’environnement d’entreprise Microsoft aux applications OAuth malveillantes contrôlées par l’acteur. L’auteur de la menace a ensuite utilisé l’application OAuth de test héritée pour lui accorder le rôle Office 365 Exchange Online full_access_as_app, qui permet d’accéder aux boîtes aux lettres. – Microsoft.
L’entreprise a identifié l’activité malveillante en récupérant des traces dans les journaux Exchange Web Services (EWS), combinées aux tactiques et procédures connues utilisées par les groupes de piratage parrainés par l’État russe.
Sur la base de ces résultats, Microsoft a pu discerner des attaques similaires menées par Midnight Blizzard, qui ciblaient d’autres organisations.
« En utilisant les informations tirées de l’enquête de Microsoft sur Midnight Blizzard, Microsoft Threat Intelligence a identifié que le même acteur ciblait d’autres organisations et, dans le cadre de nos processus de notification habituels, nous avons commencé à notifier ces organisations ciblées », prévient Microsoft dans la nouvelle mise à jour.
Plus tôt cette semaine, Hewlett Packard Enterprise (HPE) a révélé que Midnight Blizzard avait obtenu un accès non autorisé à son environnement de messagerie Microsoft Office 365 et à des données exfiltrées depuis mai 2023.
Lorsque Breachtrace a demandé à HPE qui leur avait divulgué la violation, ils nous ont dit qu’ils ne partageaient pas ces informations. Cependant, le chevauchement soulève des soupçons, augmentant la possibilité que HPE soit l’une des sociétés dont Microsoft a confirmé qu’elle était touchée.
En septembre 2023, il a également été révélé que le groupe de piratage chinois Storm-0558 avait volé 60 000 courriels de comptes du Département d’État américain après avoir violé les serveurs de messagerie Exchange basés sur le cloud de Microsoft plus tôt cette année-là.
Se défendre contre le Blizzard de minuit
Microsoft a fourni des méthodes étendues de détection et de chasse dans son dernier article pour aider les défenseurs à identifier les attaques d’APT29 et à bloquer leurs activités malveillantes.
Le géant de la technologie conseille de se concentrer sur les alertes d’identité, XDR et SIEM. Les scénarios suivants sont particulièrement suspects pour l’activité du Blizzard de minuit:
- Activité élevée dans les applications cloud d’accès aux e-mails, suggérant une récupération potentielle des données.
- Pic d’appels d’API après la mise à jour des informations d’identification dans les applications OAuth non Microsoft, faisant allusion à un accès non autorisé.
- Augmentation de l’utilisation de l’API Exchange Web Services dans les applications OAuth non Microsoft, indiquant potentiellement une exfiltration de données.
- Applications OAuth non Microsoft avec des métadonnées à risque connues, éventuellement impliquées dans des violations de données.
- Applications OAuth créées par les utilisateurs à partir de sessions à haut risque, suggérant une exploitation compromise du compte.
Enfin, Microsoft conseille d’utiliser des requêtes de chasse ciblées (fournies) dans Microsoft Defender XDR et Microsoft Sentinel pour identifier et enquêter sur les activités suspectes.