Microsoft a mis en garde contre une compromission de courrier électronique professionnel (BEC) en plusieurs étapes et une campagne de phishing ciblant plusieurs organisations du secteur de l'énergie.
“La campagne a abusé des services de partage de fichiers SharePoint pour fournir des charges utiles de phishing et s'est appuyée sur la création de règles de boîte de réception pour maintenir la persistance et échapper à la sensibilisation des utilisateurs”, a déclaré l'équipe de recherche en sécurité de Microsoft Defender. “L'attaque s'est transformée en une série d'attaques AitM et d'activités BEC ultérieures couvrant plusieurs organisations.”
Dans le cadre des activités post-exploitation suivant la compromission initiale, des attaquants inconnus ont été découverts en train d'exploiter les identités internes de confiance d'une victime pour mener un phishing externe et intra-organisationnel à grande échelle dans le but d'élargir le réseau et d'étendre la portée de la campagne.
Le point de départ de l’attaque est un email de phishing probablement envoyé à partir d’une adresse email appartenant à une organisation de confiance, préalablement compromise. En abusant de ce canal légitime, les acteurs malveillants ont envoyé des messages déguisés en flux de travail de partage de documents SharePoint pour donner une apparence de crédibilité et inciter les destinataires à cliquer sur des URL de phishing.
Étant donné que des services tels que SharePoint et OneDrive sont largement utilisés dans les environnements d'entreprise et que les e-mails proviennent d'une adresse légitime, il est peu probable qu'ils éveillent des soupçons, permettant ainsi aux adversaires de fournir des liens de phishing ou d'orchestrer des charges utiles malveillantes. Cette approche est également appelée vivre sur des sites de confiance (LOTS), car elle utilise la familiarité et l'omniprésence de ces plates-formes comme une arme pour renverser les mécanismes de détection centrés sur les e-mails.
L’URL, quant à elle, redirige les utilisateurs vers une fausse demande d’identifiant pour visualiser le supposé document. Armés d'un accès au compte à l'aide des informations d'identification volées et du cookie de session, les attaquants créent des règles de boîte de réception pour supprimer tous les e-mails entrants et marquer tous les e-mails comme lus. Une fois cette base en place, la boîte de réception compromise est utilisée pour envoyer des messages de phishing contenant une fausse URL conçue pour voler des informations d'identification via une attaque AitM.
Dans un cas, Microsoft a déclaré que l'attaquant avait lancé une campagne de phishing à grande échelle impliquant plus de 600 e-mails envoyés aux contacts de l'utilisateur compromis, tant à l'intérieur qu'à l'extérieur de l'organisation. Des acteurs malveillants ont également été observés en train de prendre des mesures pour supprimer les e-mails non distribués et d'absence du bureau, et assurer les destinataires des messages de l'authenticité de l'e-mail s'ils soulevaient des inquiétudes. La correspondance est alors supprimée de la boîte aux lettres.
“Ces techniques sont courantes dans toute attaque BEC et visent à garder la victime ignorante des opérations de l'attaquant, favorisant ainsi la persistance”, a noté le fabricant de Windows.
Microsoft a déclaré que l'attaque met en évidence la « complexité opérationnelle » d'AitM, affirmant que la réinitialisation des mots de passe ne peut à elle seule remédier à la menace, car les organisations concernées doivent s'assurer qu'elles ont révoqué les cookies de session actifs et supprimé les règles de boîte de réception créées par l'attaquant et utilisées pour échapper à la détection.
À cette fin, la société a déclaré avoir travaillé avec ses clients pour révoquer les modifications d'authentification multifacteur (MFA) apportées par l'attaquant aux comptes d'utilisateurs compromis et supprimer les règles suspectes créées dans ces comptes. On ignore actuellement combien d’organisations ont été compromises et si cela est l’œuvre d’un groupe de cybercriminalité connu.
Il est recommandé aux organisations de travailler avec leur fournisseur d'identité pour garantir que des contrôles de sécurité sont en place, tels qu'une MFA résistante au phishing, l'activation de politiques d'accès conditionnel, la mise en œuvre d'une évaluation continue des accès et l'utilisation de solutions anti-phishing qui surveillent et analysent les e-mails entrants et les sites Web visités.
L'attaque décrite par Microsoft met en évidence la tendance actuelle des acteurs malveillants à abuser de services de confiance tels que Google Drive, Amazon Web Services (AWS) et le wiki Confluence d'Atlassian pour rediriger vers des sites de collecte d'informations d'identification et préparer des logiciels malveillants. Cela élimine le besoin pour les attaquants de créer leur propre infrastructure et donne l’impression que les activités malveillantes sont légitimes.
Cette divulgation intervient alors que le fournisseur de services d'identité Okta a déclaré avoir détecté des kits de phishing personnalisés spécialement conçus pour être utilisés dans des campagnes de phishing vocal (également appelées vishing) ciblant Google, Microsoft, Okta et un large éventail de plates-formes de crypto-monnaie. Dans ces campagnes, l’adversaire, se faisant passer pour du personnel d’assistance technique, appelle des cibles potentielles en utilisant une fausse ligne d’assistance téléphonique ou un faux numéro de téléphone d’entreprise.
Les attaques visent à inciter les utilisateurs à visiter une URL malveillante et à transmettre leurs informations d'identification, qui sont ensuite transmises aux acteurs malveillants en temps réel via un canal Telegram, leur accordant ainsi un accès non autorisé à leurs comptes. Les efforts d’ingénierie sociale sont bien planifiés : les attaquants effectuent une reconnaissance des cibles et créent des pages de phishing personnalisées.
Les kits, vendus en tant que service, sont équipés de scripts côté client qui permettent aux acteurs malveillants de contrôler le flux d'authentification dans le navigateur d'un utilisateur cible en temps réel en lui fournissant des instructions verbales et en le convainquant de prendre des mesures (par exemple, approuver des notifications push ou saisir des mots de passe à usage unique) qui conduiraient au contournement de l'authentification MFA.
“Grâce à ces kits, un attaquant au téléphone avec un utilisateur ciblé peut contrôler le flux d'authentification lorsque cet utilisateur interagit avec les pages de phishing d'informations d'identification”, a déclaré Moussa Diallo, chercheur en menaces chez Okta Threat Intelligence. “Ils peuvent contrôler les pages que la cible voit dans son navigateur en parfaite synchronisation avec les instructions qu'ils fournissent lors de l'appel. L'acteur malveillant peut utiliser cette synchronisation pour vaincre toute forme de MFA qui n'est pas résistante au phishing.”
Ces dernières semaines, des campagnes de phishing ont exploité des URL d'authentification de base (c'est-à-dire “nom d'utilisateur : mot de passe @ domaine).[.]com”) en plaçant un domaine de confiance dans le champ du nom d'utilisateur, suivi d'un symbole @ et du domaine malveillant réel pour tromper visuellement la victime.
“Lorsqu'un utilisateur voit une URL qui commence par un domaine familier et fiable, il peut supposer que le lien est légitime et qu'il peut cliquer en toute sécurité”, a déclaré Netcraft. “Cependant, le navigateur interprète tout ce qui se trouve avant le symbole @ comme des informations d'authentification qui ne font pas partie de la destination. Le domaine réel, ou celui auquel le navigateur se connecte, est inclus après le symbole @.”
D'autres campagnes ont eu recours à de simples astuces de tromperie visuelle, telles que l'utilisation de « rn » au lieu de « m » pour masquer les domaines malveillants et faire croire aux victimes qu'elles visitent un domaine légitime associé à des sociétés comme Microsoft (« rnicrosoft »).[.]com”), Mastercard (“rnastercard[.]de”), Marriott (“rnarriotthotels[.]com”) et Mitsubishi (“rnitsubishielectric[.]com”). C’est ce qu’on appelle une attaque d’homoglyphe.
“Alors que les attaquants ciblent généralement les marques commençant par la lettre M pour cette technique, certains des domaines les plus convaincants proviennent de l'échange d'un 'm' interne avec des mots 'rn' internes”, a déclaré Ivan Khamenka de Netcraft. « Cette technique devient encore plus dangereuse lorsqu'elle apparaît dans des mots que les organisations utilisent couramment dans le cadre de leur image de marque, de leurs sous-domaines ou de leurs identifiants de service. Des termes comme e-mail, message, membre, confirmation et communication contiennent davantage de demi-mots que les utilisateurs traitent à peine.
