Mandiant, propriété de Google, a déclaré vendredi avoir identifié une « expansion des activités de menace » utilisant des techniques compatibles avec des attaques sur le thème de l'extorsion orchestrées par un groupe de piratage informatique à motivation financière connu sous le nom de ShinyHunters.
Les attaques exploitent le phishing vocal avancé (également connu sous le nom de vishing) et de faux sites de collecte d'informations d'identification qui imitent les entreprises cibles pour obtenir un accès non autorisé aux environnements des victimes en collectant les informations de connexion (SSO) et les codes d'authentification multifacteur (MFA).
Le but ultime des attaques est de cibler les applications SaaS (Software-as-a-Service) basées sur le cloud afin de siphonner les données sensibles et les communications internes et d'extorquer de l'argent aux victimes.
L'équipe de renseignement sur les menaces du géant de la technologie a déclaré qu'elle surveillait l'activité de plusieurs groupes, notamment UNC6661, UNC6671 et UNC6240 (également connus sous le nom de ShinyHunters), pour tenir compte de la possibilité que ces groupes fassent évoluer leur mode opératoire ou imitent des tactiques observées précédemment.
« Bien que cette méthodologie de ciblage des fournisseurs d'identité et des plates-formes SaaS soit cohérente avec nos précédentes observations d'activités de menace précédant l'extorsion de marque ShinyHunters, la gamme de plates-formes cloud spécifiques continue de s'élargir à mesure que ces acteurs malveillants recherchent des données plus sensibles à des fins d'extorsion », a noté Mandiant.
“En outre, ils semblent intensifier leurs tactiques d'extorsion avec des incidents récents, notamment le harcèlement du personnel des victimes, entre autres tactiques.”
Les détails de l'activité de vishing et de vol d'identifiants sont les suivants :
- UNC6661 a été observé se faisant passer pour du personnel informatique lors d'appels à des employés d'organisations victimes spécifiques, les dirigeant vers des liens de collecte d'informations d'identification sous couvert de leur demander de mettre à jour leurs paramètres d'authentification multifacteur (MFA). L’activité a été enregistrée entre début et mi-janvier 2026.
- Les informations d'identification volées sont ensuite utilisées pour enregistrer votre propre appareil pour MFA, puis se déplacent latéralement sur le réseau pour extraire des données des plates-formes SaaS. Dans au moins un cas, l’auteur de la menace a utilisé son accès à des comptes de messagerie compromis comme une arme pour envoyer davantage d’e-mails de phishing aux contacts d’entreprises axées sur la cryptomonnaie. Les courriels ont ensuite été supprimés pour brouiller les pistes. Viennent ensuite les activités d’extorsion menées par UNC6240.
- L'UNC6671 a également été identifié comme usurpant l'identité du personnel informatique pour tromper les victimes dans le cadre des efforts visant à obtenir leurs informations d'identification et leurs codes d'authentification MFA sur des sites de collecte d'informations d'identification de marque depuis début janvier 2026. Dans au moins certains cas, les acteurs malveillants ont eu accès aux comptes clients Okta. UNC6671 a également exploité PowerShell pour télécharger des données sensibles depuis SharePoint et OneDrive.
- Les différences entre UNC6661 et UNC6671 concernent l'utilisation de différents bureaux d'enregistrement de domaine pour enregistrer les domaines de collecte d'informations d'identification (NICENIC pour UNC6661 et Tucows pour UNC6671), ainsi que le fait qu'un e-mail d'extorsion envoyé après l'activité UNC6671 ne chevauchait pas les indicateurs UNC6240 connus.
- Cela indique que différents groupes de personnes peuvent être impliqués, illustrant la nature amorphe de ces groupes cybercriminels. De plus, l’attaque contre les sociétés de crypto-monnaie suggère que les acteurs de la menace pourraient également chercher à explorer d’autres voies pour obtenir des gains financiers.
Pour contrer la menace posée par les plates-formes SaaS, Google a présenté une longue liste de recommandations en matière de protection, de journalisation et de détection :
- Améliorez les processus du service d'assistance, notamment en exigeant que le personnel demande un appel vidéo en direct pour vérifier son identité.
- Limiter l'accès aux points de sortie et aux emplacements physiques fiables ; appliquer des mots de passe forts ; et supprimez les SMS, les appels téléphoniques et les e-mails comme méthodes d'authentification
- Restreindre l'accès au plan de gestion, auditer les secrets exposés et appliquer des contrôles d'accès aux appareils
- Implémentez la journalisation pour accroître la visibilité sur les actions d'identité, les autorisations et les comportements d'exportation SaaS.
- Détecter l’inscription des appareils MFA et les modifications dans le cycle de vie MFA ; recherchez les événements d'autorisation OAuth/d'application qui suggèrent une activité de falsification de la boîte aux lettres à l'aide d'utilitaires tels que ToogleBox Email Recall, ou des événements d'identité qui se produisent en dehors des heures normales de bureau.
“Cette activité n'est pas le résultat d'une faille de sécurité dans les produits ou l'infrastructure des fournisseurs”, a déclaré Google. « Au lieu de cela, il continue de souligner l'efficacité de l'ingénierie sociale et souligne l'importance pour les organisations de s'orienter vers une MFA résistante au phishing chaque fois que cela est possible. Des méthodes telles que les clés de sécurité ou les clés d'accès FIDO2 résistent à l'ingénierie sociale d'une manière qui ne l'est pas par l'authentification par push ou par SMS.
