Selon une tude mene par une grande socit de scurit informatique, 80 % des entreprises stockent des donnes sensibles dans le cloud, tandis que 53 % d’entre elles ont subi une cyberattaque sur leur infrastructure cloud au cours des 12 derniers mois. Une campagne en cours cible les comptes Microsoft Azure de cadres suprieurs, visant compromettre des centaines de comptes et voler des donnes sensibles et des actifs financiers dans diverses organisations. Les cybercriminels utilisent des techniques sophistiques d’hameonnage, combinant des appts personnaliss avec des documents partags pour compromettre les environnements Azure. Une fois les comptes compromis, les auteurs de la menace mettent en place une authentification multifactorielle pour scuriser l’accs.
Les actions post-compromission comprennent l’exfiltration de donnes, l’hameonnage interne et externe, la fraude financire et la cration de rgles de bote aux lettres pour masquer leurs traces. Les cybercriminels utilisent des proxys, des services d’hbergement de donnes et des domaines compromis pour obscurcir leur infrastructure oprationnelle. Bien que les acteurs ne soient pas identifis, certains indices pointent vers une possible implication russe et nigriane.
Les acteurs de la menace semblent se concentrer sur un large ventail de personnes occupant divers postes dans diffrentes organisations, ce qui a un impact sur des centaines d’utilisateurs dans le monde entier , indique un avis de Proofpoint. La base d’utilisateurs affecte englobe un large ventail de postes, les cibles frquentes tant les directeurs des ventes, les responsables de comptes et les directeurs financiers. Les personnes occupant des postes de direction tels que « vice-prsident des oprations », « directeur financier et trsorier » et « prsident-directeur gnral » figuraient galement parmi les cibles.
Fin novembre 2023, les chercheurs de Proofpoint ont dtect une nouvelle campagne malveillante, intgrant des techniques d’hameonnage d’informations d’identification et de prise de contrle de comptes dans le cloud (ATO). Dans le cadre de cette campagne, qui est toujours active, les acteurs de la menace ciblent les utilisateurs l’aide de leurres d’hameonnage individualiss dans des documents partags. Par exemple, certains des documents utiliss comprennent des liens intgrs permettant de « voir le document » qui, leur tour, redirigent les utilisateurs vers une page web d’hameonnage malveillante lorsqu’ils cliquent sur l’URL.
En suivant les modles de comportement et les techniques de l’attaque, nos analystes des menaces ont identifi des indicateurs de compromission spcifiques (IOC) associs cette campagne. Il s’agit notamment de l’utilisation d’un agent utilisateur Linux spcifique utilis par les cybercriminels au cours de la phase d’accs de la chane d’attaque.
Exemples d’vnements de manipulation de lauthentification multifacteur, excuts par des cybercriminels chez un utilisateur de cloud compromis.
Consquences suite une violation de scurit
Un accs initial russi conduit souvent une squence d’activits non autorises aprs la compromission, y compris :
- Manipulation de l’ lauthentification multifacteur. Les cybercriminels enregistrent leurs propres mthodes d’AMF pour conserver un accs permanent. Nous avons observ des cybercriminels qui choisissaient diffrentes mthodes d’authentification, y compris l’enregistrement de numros de tlphone alternatifs pour l’authentification par SMS ou par appel tlphonique. Cependant, dans la plupart des cas de manipulation del lauthentification multifacteur, les cybercriminels ont prfr ajouter une application d’authentification avec notification et code ;
- Exfiltration de donnes. Les cybercriminels accdent des fichiers sensibles et les tlchargent, y compris des actifs financiers, des protocoles de scurit internes et des informations d’identification des utilisateurs ;
- Hameonnage interne et externe. L’accs la bote aux lettres est utilis pour effectuer des mouvements latraux au sein des organisations concernes et pour cibler des comptes d’utilisateurs spcifiques avec des menaces d’hameonnage personnalises ;
- Fraude financire. Dans le but de perptrer des fraudes financires, des messages lectroniques internes sont envoys pour cibler les dpartements des ressources humaines et des finances au sein des organisations concernes ;
- Rgles de bote aux lettres. Les attaquants crent des rgles d’obscurcissement spcifiques, destines masquer leurs traces et effacer toute trace d’activit malveillante dans les botes aux lettres des victimes.
Exemples de rgles d’obscurcissement de botes aux lettres cres par des cybercriminels la suite d’une prise de contrle russie d’un compte.
Infrastructure oprationnelle
Ltude criminalistique de l’attaque a mis en vidence plusieurs proxys, services d’hbergement de donnes et domaines dtourns, qui constituent l’infrastructure oprationnelle des attaquants. Les cybercriminels ont t observs en train d’utiliser des services proxy pour aligner l’origine gographique apparente des activits non autorises sur celle des victimes cibles, vitant ainsi les politiques de go-fencing. En outre, l’utilisation de services proxy frquemment alterns permet aux acteurs de la menace de masquer leur vritable emplacement et cre un dfi supplmentaire pour les dfenseurs qui cherchent bloquer les activits malveillantes.
Au-del de l’utilisation de services proxy, les cybercriminels ont utilis certains fournisseurs d’accs Internet fixes locaux, ce qui pourrait rvler leur emplacement gographique. Parmi ces sources non proxy, on peut citer Selena Telecom LLC , bas en Russie, et les fournisseurs nigrians Airtel Networks Limited et MTN Nigeria .
Bien que Proofpoint n’ait pas attribu cette campagne un acteur connu, il est possible que des cybercriminels russes et nigrians soient impliqus, tablissant ainsi un parallle avec des attaques prcdentes.
la fin du mois de janvier, des pirates informatiques appartenant au groupe Midnight Blizzard, li au renseignement russe, ont compromis le rseau de Microsoft en exploitant un ancien compte de test dot de privilges administratifs. Leur mthode a impliqu l’utilisation de la technique de password spraying pour accder ce compte qui ne bnficiait pas de l’authentification multifactorielle. Une fois infiltrs dans le systme, ils ont abus du protocole OAuth pour attribuer des droits d’accs toutes les adresses lectroniques du service de messagerie Office 365 de Microsoft.
L’escalade d’accs a t facilite par une grosse erreur de configuration de Microsoft, permettant un compte de test hrit d’obtenir des privilges d’administrateur, bien que la raison de cette configuration et sa persistance n’aient pas t expliques par les responsables de Microsoft. L’attaque s’est tendue sur deux mois, pendant lesquels les pirates ont surveill les courriels de cadres suprieurs. D’autres organisations, dont Hewlett Packard Enterprises, ont galement t affectes par les activits de Midnight Blizzard, qui ont utilis des proxies rsidentiels pour masquer leurs connexions, compliquant ainsi la dtection base sur les indicateurs de compromission.
Dans une communication ultrieure aux clients, Microsoft a fourni plus de dtails sur la manire dont les pirates ont ralis cette escalade d’accs. Identifis comme appartenant au groupe Midnight Blizzard, les pirates ont obtenu un accs permanent aux comptes de messagerie privilgis en exploitant le protocole d’autorisation OAuth, largement utilis dans l’industrie pour permettre diverses applications d’accder aux ressources d’un rseau. Aprs la compromission, Midnight Blizzard a cr une application malveillante et lui a attribu des droits d’accs toutes les adresses lectroniques du service de messagerie Office 365 de Microsoft.
Les responsables de Microsoft ont prsent ces vnements de manire obscure, minimisant l’ampleur de l’erreur. Ils ont expliqu que des acteurs de la menace, tels que Midnight Blizzard, compromettent des comptes d’utilisateurs pour altrer les autorisations d’applications OAuth, qu’ils peuvent ensuite utiliser des fins malveillantes pour dissimuler leurs activits. L’abus d’OAuth permet galement ces acteurs de maintenir l’accs aux applications mme aprs avoir perdu l’accs au compte initial compromis.
Midnight Blizzard a exploit son accs initial pour identifier et compromettre une ancienne application OAuth de test, lui confrant un accs lev l’environnement de l’entreprise Microsoft. Ils ont ensuite cr d’autres applications OAuth malveillantes, un nouveau compte utilisateur autorisant ces applications accder l’environnement de l’entreprise. Enfin, les cybercriminels ont utilis l’ancienne application OAuth de test pour lui attribuer le rle Office 365 Exchange Online full_access_as_app, offrant ainsi un accs aux botes aux lettres.
Comment vrifier si vous tes une cible
Il existe plusieurs signes rvlateurs d’un ciblage. Le plus utile est un agent-utilisateur spcifique utilis pendant la phase d’accs de l’attaque : Mozilla/5.0 (X11 ; Linux x86_64) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/120.0.0.0 Safari/537.36. Les cybercriminels utilisent principalement cet agent-utilisateur pour accder l’application de connexion « OfficeHome » ainsi qu’ d’autres applications natives de Microsoft365, telles que :
- Office365 Shell WCSS-Client (indicateur d’un accs par navigateur aux applications Office365) ;
- Office 365 Exchange Online (rvlateur d’un abus de botes aux lettres, d’une exfiltration de donnes et d’une prolifration de menaces par courrier lectronique aprs la compromission) ;
- My Signins (utilis par les attaquants pour manipuler lauthentification multifacteur) ;
- Mes applications ;
- Mon profil.
L’incident dcrit par Proofpoint met en lumire une srieuse proccupation en matire de scurit pour les utilisateurs de Microsoft Azure, en particulier pour les cadres suprieurs et les organisations cibles. La campagne sophistique d’hameonnage dmontre la ncessit de renforcer les protocoles de scurit et la sensibilisation des utilisateurs au sein de l’cosystme Azure.
Toutefois, plusieurs aspects mritent d’tre examins. Tout d’abord, la diversit des rles cibls suggre une approche multifacette de la part des cybercriminels, soulignant la complexit des dfis auxquels les services cloud comme Azure sont confronts en termes de scurit. La capacit des cybercriminels contourner les mesures de gofencing en utilisant des proxys souligne galement les failles potentielles dans les dfenses de Microsoft Azure.
Il est important de noter que la scurit informatique est un dfi constant pour toutes les grandes plateformes cloud. Cependant, la raction et la rsilience d’une plateforme face de telles attaques sont cruciales. Il serait intressant de comparer les pratiques de scurit de Microsoft Azure avec celles de ses principaux concurrents, tels qu’Amazon Web Services (AWS) et Google Cloud Platform (GCP), pour valuer la robustesse de leurs approches respectives.
Les trois principaux fournisseurs de services cloud, savoir Amazon Web Services (AWS), Microsoft Azure et Google Cloud Platform (GCP) dtiennent ensemble 62 % du march de cloud computing, avec une croissance combine de 42 % au premier trimestre 2022. Chacun offre des fonctionnalits de scurit solides, telles que pare-feu, chiffrement en transit, gestion de la conformit, protection DDoS, et scurit physique.
AWS, le plus ancien et le plus tabli, se distingue par sa documentation claire, une place de march tendue pour les modules tiers, un large rseau de partenaires, et une approche de responsabilit partage claire. Microsoft Azure, le deuxime en termes de popularit, prsente une approche centralise de la gestion des identits et des accs (IAM) avec son Active Directory. Cependant, des problmes de cohrence et de documentation moins claire sont mentionns, ainsi qu’une gestion de l’accs des utilisateurs ncessitant un plus grand engagement de ressources.
Google Cloud Platform, le plus rcent, offre des fonctionnalits prometteuses axes sur l’ingnierie et l’expertise mondiale. Il adopte galement des configurations scurises par dfaut et propose une approche centralise de la gestion de la scurit. Cependant, sa documentation est moins complte, et le march des modules tiers est moins dvelopp.
Chaque fournisseur a ses forces et faiblesses, ce qui souligne l’importance pour les entreprises de choisir en fonction de leurs besoins spcifiques en matire de scurit, de gestion et de performance. Lincident prsent par Proofpoint souligne la ncessit d’une surveillance continue et de la mise en place de mcanismes plus robustes pour dtecter et prvenir de telles attaques. Il est galement crucial que les utilisateurs soient pleinement informs des meilleures pratiques de scurit et des signes de compromission.
Source : Proofpoint
Et vous ?
Quel est votre avis sur le sujet ?
En quoi la capacit des cybercriminels contourner les mesures de gofencing en utilisant des proxys souligne-t-elle les failles potentielles dans les dfenses de Microsoft Azure ?
Comment la raction et la rsilience de Microsoft Azure face cet incident se comparent-elles celles de ses concurrents ?
Voir aussi :