Des centaines de comptes d’utilisateurs Microsoft Office et Azure, y compris ceux de cadres supérieurs, ont été récemment compromis dans le cadre d’une campagne d’hameçonnage ciblée toujours en cours, selon les chercheurs de Proofpoint.
L’avertissement précis : « Dans le cadre de cette campagne, les acteurs malveillants ciblent les utilisateurs avec des appâts d’hameçonnage personnalisés dans des documents partagés. » Par exemple, certains documents piégés contiennent des liens intégrés menant à « Afficher le document », qui redirigent ensuite les utilisateurs vers une page Web d’hameçonnage malveillante lorsqu’ils cliquent sur l’URL.
« Les acteurs de menaces semblent concentrer leurs efforts sur un large éventail d’individus ayant des titres variés au sein de différentes organisations, touchant des centaines d’utilisateurs dans le monde entier », avertit Proofpoint.
« La base d’utilisateurs affectée couvre un large éventail de postes, les cibles fréquentes étant les directeurs des ventes, les responsables de comptes et les directeurs financiers. Des individus occupant des postes de direction tels que « vice-président, opérations », “directeur financier et trésorier » et “président-directeur général” ont également été ciblées. »
« La variété des rôles ciblés indique une stratégie pratique des acteurs de menaces, visant à compromettre des comptes ayant différents niveaux d’accès à des ressources et des responsabilités précieuses au sein des fonctions organisationnelles. »
Voici l’agent utilisé par les responsables de cette campagne, que les défenseurs devraient surveiller pendant la phase d’accès de la chaîne d’attaque : Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/120.0.0.0 Safari/537.36
Selon Proofpoint, les attaquants utilisent principalement cet agent utilisateur pour accéder à l’application de connexion « OfficeHome », ainsi qu’à d’autres applications natives Microsoft 365 non autorisées, telles que :
- « Office365 Shell WCSS-Client » (indiquant l’accès par navigateur aux applications Office 365);
- « Office 365 Exchange Online » (indiquant une utilisation abusive des boîtes aux lettres après compromission, une exfiltration de données et la prolifération de menaces par courriel);
- « My Signins » (utilisé par les attaquants pour manipuler l’authentification multifacteur);
- « My Apps »;
- « My Profile ».
Un accès initial réussi conduit souvent à une séquence d’activités non autorisées après compromission, notamment la manipulation de l’authentification multifacteur (MFA) pour que les attaquants puissent maintenir un accès permanent. Proofpoint a observé que les attaquants choisissent différentes méthodes d’authentification, notamment l’enregistrement de numéros de téléphone alternatifs pour l’authentification MFA par SMS ou appel téléphonique. Cependant, dans la plupart des cas, les attaquants préfèrent ajouter une application d’authentification mobile avec notification et code.
À partir de là, les attaquants peuvent accéder et télécharger des fichiers sensibles, saccager des boîtes aux lettres, envoyer de faux courriels aux services des ressources humaines et des finances et, pour brouiller leurs pistes, créer des règles de messagerie dédiées à l’obfurcissement.
Proofpoint invite les responsables informatiques et de la sécurité de l’information à :
- Surveiller les journaux de serveurs de votre organisation à la recherche de l’agent-utilisateur et des domaines sources spécifiques afin de détecter et d’atténuer les menaces potentielles.
- Imposer un changement immédiat des identifiants de connexion pour les utilisateurs compromis et ciblés, et appliquer un changement périodique de mot de passe pour tous les utilisateurs.
- Identifier les piratages de comptes et les accès potentiellement non autorisés à des ressources sensibles dans votre environnement cloud. Les solutions de sécurité doivent fournir une détection précise et rapide à la fois pour la compromission initiale de compte et pour les activités post-compromission, y compris la visibilité des services et applications abusées.
- Identifier les vecteurs de menace initiaux, notamment les menaces transmises par courrier électronique (par exemple, hameçonnage, logiciels malveillants, usurpation d’identité, etc.), les attaques par force brute et les tentatives de vaporisation de mot de passe.
- Mettre en œuvre des politiques de remédiation automatique afin de réduire le temps de séjour des attaquants et de minimiser les dommages potentiels.
Adaptation et traduction française par Kevin Plourde.