Hameçonnage Azure. La nouvelle est tombée courant février. Une opération récente de phishing a récemment visé des utilisateurs Azure. Le profil des cibles ne laisse aucun doute sur les intentions criminelles. Il en est de même sur les risques d’arnaques au Président qui en découlent.
Sommaire
Quand la menace sort du bois…
Dans l’environnement des menaces cybernétiques en constante évolution, une nouvelle campagne de phishing a émergé. Elle cible les comptes d’utilisateurs Microsoft Azure avec un accent particulier sur les cadres de haut niveau. La campagne a été détectée pour la première fois fin novembre 2023. Elle a réussi à compromettre un nombre significatif de comptes à travers divers environnements Microsoft Azure. Les implications de telles violations sont graves. En effet, elles donnent aux attaquants accès à des données d’entreprise sensibles. Mais aussi la capacité d’autoriser des transactions financières illégitimes. Et pire encore, la possibilité d’utiliser les systèmes compromis comme tremplin pour d’autres attaques contre l’organisation et ses affiliés.
Les Subtilités de l’Attaque
Le mode opératoire des attaquants implique l’utilisation de documents ingénieusement conçus qui sont envoyés aux victimes potentielles. Ces documents contiennent des boutons « Voir le document » trompeurs. Ceux-ci, une fois cliqués, redirigent les utilisateurs vers des pages de phishing conçues pour récolter leurs identifiants. L’équipe de réponse à la sécurité cloud de Proofpoint surveille diligemment ces activités malveillantes. Elle a émis une alerte pour informer la communauté sur les techniques employées par les acteurs de la menace. Ils suggèrent des stratégies de défense appropriées.
Démographie Ciblée et Mécanique de l’Attaque d’hameçonnage Azure
La campagne n’est pas indistincte. Elle cible spécifiquement les individus au sein d’une organisation susceptibles de posséder des privilèges élevés. L’analyse de Proofpoint révèle que les attaquants ont jeté un large filet. Notamment, leurs cibles fréquentes incluent les directeurs commerciaux, les gestionnaires de comptes et les gestionnaires financiers. De plus, des individus occupant des postes de direction sont spécifiquement choisis. Les titres tels que « Vice-président, Opérations », « Directeur Financier & Trésorier » et « Président & CEO » ont servi de cible pour les attaquants.
Les acteurs de la menace ont été identifiés en utilisant une chaîne d’agent utilisateur Linux particulière pour accéder sans autorisation aux applications Microsoft365. Cette chaîne a été liée à diverses activités post-compromission. Notamment la manipulation de l’Authentification Multifacteur (MFA), l’exfiltration de données, le phishing interne et externe, la fraude financière et la création de règles dans les boîtes aux lettres pour dissimuler leurs actions.
Composants Microsoft365 Compromis
Les observations de Proofpoint indiquent que l’accès non autorisé s’étend à plusieurs composants de Microsoft365, y compris :
- Office365 Shell WCSS-Client : Cela suggère que les attaquants interagissent avec les applications Office365 via un navigateur web.
- Office 365 Exchange Online : Les attaquants ciblent ce service pour commettre des abus liés aux courriels. Par exemple l’exfiltration de données et le phishing latéral.
- Mes Connexions : Ce composant est exploité pour manipuler les paramètres MFA.
- Mes Applications : Les attaquants peuvent modifier les configurations ou les permissions au sein de l’environnement Microsoft 365 par le biais de ce composant.
- Mon Profil : Il y a des tentatives de modification des paramètres personnels et de sécurité des utilisateurs, potentiellement pour maintenir un accès non autorisé ou escalader les privilèges.
De plus, l’infrastructure opérationnelle des attaquants semble inclure des proxys situés près des cibles pour éviter les politiques de MFA ou de géo-clôture, des services d’hébergement de données et des domaines détournés. Il y a également des preuves non concluantes suggérant que les attaquants pourraient opérer depuis la Russie ou le Nigeria. Il s’agit de déductions provenant de l’utilisation de certains fournisseurs de services Internet locaux à ligne fixe.
Mesures Défensives et Bonnes Pratiques face à l’hameçonnage Azure
Pour contrer cette campagne en cours, Proofpoint recommande une série de mesures défensives. Les organisations peuvent se laisser guider pour les mettre en œuvre. Ainsi elles vont renforcer leur posture de sécurité au sein des environnements Microsoft Azure et Office 365. Ces mesures incluent :
- Une surveillance vigilante pour la chaîne d’agent utilisateur spécifique et les domaines sources dans les journaux système.
- Des réinitialisations immédiates de mot de passe pour les comptes compromis. Effectuer des mises à jour régulières de mot de passe pour tous les utilisateurs.
- L’utilisation d’outils de sécurité pour détecter rapidement les événements de prise de contrôle de compte.
- L’adoption de mesures d’atténuation standard de l’industrie contre les vecteurs d’attaque courants tels que le phishing, le brute-forcing et le password-spraying.
- L’établissement de politiques pour une réponse automatique aux menaces.
En adhérant à ces suggestions, les organisations peuvent améliorer leur capacité à détecter les incidents rapidement. Elles peuvent répondre efficacement et réduire significativement la fenêtre d’opportunité pour les attaquants de séjourner au sein de leurs systèmes.
Conclusion
La campagne de phishing en cours ciblant les comptes Microsoft Azure est un rappel sévère de la nature persistante et sophistiquée des menaces cybernétiques. Les organisations doivent rester vigilantes et proactives dans la mise en œuvre de mesures de sécurité robustes pour protéger leurs actifs numériques et l’intégrité de leurs opérations. À travers des stratégies de défense complètes et une conscience constante, le risque posé par de telles campagnes peut être atténué. Cela permet d’assurer un environnement cyber sécurisé et résilient pour toutes les parties impliquées.
Si vous ou votre entreprise avez été victime d’une arnaque de ce type, N’HÉSITEZ PAS À NOUS CONTACTER pour plus d’informations. Nous pouvons vous assister que ce soit pour les recours légaux grâce à notre réseau d’avocats ou bien pour la réponse à incident avec nos partenaires cyber. N’hésitez pas à consulter NOTRE PAGE DE VICTOIRES et NOS REPORTAGES À LA TÉLÉVISION.