Microsoft a publié un rapport « Cyber Signals » partageant de nouvelles informations sur le groupe de piratage Storm-0539 et une forte augmentation du vol de cartes-cadeaux à l’approche des vacances du Memorial Day aux États-Unis.

Le FBI avait déjà mis en garde contre les activités de Storm-0539 (alias « Ant Lion ») plus tôt ce mois-ci, soulignant les techniques avancées du groupe de menaces pour voler et frauder des cartes-cadeaux, déclarant que leurs tactiques ressemblaient à des pirates informatiques parrainés par des États et à des acteurs sophistiqués du cyberespionnage.

Microsoft avertit que les acteurs de la menace augmentent leur activité avant un jour férié majeur, constatant une augmentation de 60% de l’activité de Storm-0539 pendant les vacances d’hiver de l’année dernière (Noël) et une augmentation notable de 30% entre mars et mai 2024.

Dans le rapport Cyber Signals récemment publié, Microsoft corrobore le fait que les acteurs de la menace ciblent les organisations qui émettent des cartes-cadeaux plutôt que les utilisateurs finaux, tout en révélant également un abus à grande échelle des fournisseurs de services cloud pour des opérations à faible coût.

Profil et mode opératoire de Storm-0539
Storm-0539 est un groupe de menaces marocain à motivation financière actif depuis 2021, principalement axé sur la fraude par carte-cadeau et carte de paiement.

Les auteurs de la menace sont connus pour leurs efforts de reconnaissance et leurs messages de phishing par e-mail et SMS personnalisés, qui ciblent les employés d’organisations ciblées, généralement les émetteurs de cartes-cadeaux.

Hameçonnage par SMS envoyé aux cibles

Une fois qu’ils ont accès à l’environnement cible à l’aide de comptes volés, ils enregistrent leurs propres appareils auprès des plates-formes d’authentification multifacteur (MFA) de l’entreprise pour la persistance, puis se déplacent latéralement en compromettant les machines virtuelles, les VPN, les environnements SharePoint, OneDrive, Salesforce et Citrix.

Cycle de vie des intrusions

Finalement, Storm-0539 a accès à des informations d’identification qui lui permettent de créer de nouvelles cartes-cadeaux à échanger sur les marchés du dark Web, dans les magasins ou en les encaissant à l’aide de mules d’argent.

« En règle générale, les organisations fixent une limite à la valeur monétaire pouvant être émise sur une carte-cadeau individuelle. Par exemple, si cette limite est de 100 000 USD, l’auteur de la menace émettra une carte de 99 000 USD, puis s’enverra le code de la carte-cadeau et les monétisera », explique le rapport Cyber Signals de Microsoft.

« Leur principale motivation est de voler des cartes-cadeaux et d’en tirer profit en les vendant en ligne à un tarif réduit. »

« Nous avons vu quelques exemples où l’acteur de la menace a volé jusqu’à 100 000 dollars par jour dans certaines entreprises. »

Pour créer une nouvelle infrastructure pour leurs attaques, les auteurs de menaces créent des sites Web se faisant passer pour des organisations à but non lucratif, qui sont utilisés pour s’inscrire auprès de fournisseurs de services cloud. Ces comptes rejoignent les niveaux » payer au fur et à mesure « ou » essai gratuit », dont ils abusent dans des opérations à grande échelle pour peu ou pas de frais.

« La reconnaissance et la capacité de Storm-0539 à exploiter les environnements cloud sont similaires à ce que Microsoft observe des acteurs de la menace parrainés par un État, montrant comment les techniques popularisées par l’espionnage et les adversaires axés sur la géopolitique influencent désormais les criminels motivés financièrement », explique Microsoft.

Vue d’ensemble de la chaîne d’attaque de Storm-0539

Recommandations de la défense
Microsoft suggère que les opérateurs de portails émettant des cartes-cadeaux surveillent en permanence les anomalies et mettent en œuvre des politiques d’accès conditionnel qui empêcheraient un seul compte potentiellement détourné de générer un nombre inhabituellement élevé de cartes.

De plus, il est conseillé aux organisations de mettre en œuvre des mesures de protection contre la relecture des jetons, d’appliquer un accès à moindre privilège et d’utiliser des clés de sécurité FIDO2 pour protéger les comptes à haut risque.

Les marchands peuvent également jouer un rôle crucial en perturbant la chaîne de profit de Storm-0539 et des acteurs de la menace similaires en reconnaissant et en rejetant les commandes qui portent des signes suspects.

Bien que ces attaques n’affectent pas les acheteurs des fêtes, les internautes qui se préparent pour le Memorial Day doivent rester très prudents face aux escroqueries, aux faux magasins et à la publicité malveillante.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *