Tentatives d’hameçonnage de comptes Azure, stratégies complètes pour contrecarrer le phishing.

Hameçonnage Azure. La nouvelle est tombée courant février. Une opération récente de phishing a récemment visé des utilisateurs Azure. Le profil des cibles ne laisse aucun doute sur les intentions criminelles. Il en est de même sur les risques d’arnaques au Président qui en découlent.

Quand la menace sort du bois…

Dans l’environnement des menaces cybernétiques en constante évolution, une nouvelle campagne de phishing a émergé. Elle cible les comptes d’utilisateurs Microsoft Azure avec un accent particulier sur les cadres de haut niveau. La campagne a été détectée pour la première fois fin novembre 2023. Elle a réussi à compromettre un nombre significatif de comptes à travers divers environnements Microsoft Azure. Les implications de telles violations sont graves. En effet, elles donnent aux attaquants accès à des données d’entreprise sensibles. Mais aussi la capacité d’autoriser des transactions financières illégitimes. Et pire encore, la possibilité d’utiliser les systèmes compromis comme tremplin pour d’autres attaques contre l’organisation et ses affiliés.

Les Subtilités de l’Attaque

Le mode opératoire des attaquants implique l’utilisation de documents ingénieusement conçus qui sont envoyés aux victimes potentielles. Ces documents contiennent des boutons « Voir le document » trompeurs. Ceux-ci, une fois cliqués, redirigent les utilisateurs vers des pages de phishing conçues pour récolter leurs identifiants. L’équipe de réponse à la sécurité cloud de Proofpoint surveille diligemment ces activités malveillantes. Elle a émis une alerte pour informer la communauté sur les techniques employées par les acteurs de la menace. Ils suggèrent des stratégies de défense appropriées.

Démographie Ciblée et Mécanique de l’Attaque d’hameçonnage Azure

La campagne n’est pas indistincte. Elle cible spécifiquement les individus au sein d’une organisation susceptibles de posséder des privilèges élevés. L’analyse de Proofpoint révèle que les attaquants ont jeté un large filet. Notamment, leurs cibles fréquentes incluent les directeurs commerciaux, les gestionnaires de comptes et les gestionnaires financiers. De plus, des individus occupant des postes de direction sont spécifiquement choisis. Les titres tels que « Vice-président, Opérations », « Directeur Financier & Trésorier » et « Président & CEO » ont servi de cible pour les attaquants.

Les acteurs de la menace ont été identifiés en utilisant une chaîne d’agent utilisateur Linux particulière pour accéder sans autorisation aux applications Microsoft365. Cette chaîne a été liée à diverses activités post-compromission. Notamment la manipulation de l’Authentification Multifacteur (MFA), l’exfiltration de données, le phishing interne et externe, la fraude financière et la création de règles dans les boîtes aux lettres pour dissimuler leurs actions.

Composants Microsoft365 Compromis

Les observations de Proofpoint indiquent que l’accès non autorisé s’étend à plusieurs composants de Microsoft365, y compris :

  • Office365 Shell WCSS-Client : Cela suggère que les attaquants interagissent avec les applications Office365 via un navigateur web.
  • Office 365 Exchange Online : Les attaquants ciblent ce service pour commettre des abus liés aux courriels. Par exemple l’exfiltration de données et le phishing latéral.
  • Mes Connexions : Ce composant est exploité pour manipuler les paramètres MFA.
  • Mes Applications : Les attaquants peuvent modifier les configurations ou les permissions au sein de l’environnement Microsoft 365 par le biais de ce composant.
  • Mon Profil : Il y a des tentatives de modification des paramètres personnels et de sécurité des utilisateurs, potentiellement pour maintenir un accès non autorisé ou escalader les privilèges.

De plus, l’infrastructure opérationnelle des attaquants semble inclure des proxys situés près des cibles pour éviter les politiques de MFA ou de géo-clôture, des services d’hébergement de données et des domaines détournés. Il y a également des preuves non concluantes suggérant que les attaquants pourraient opérer depuis la Russie ou le Nigeria. Il s’agit de déductions provenant de l’utilisation de certains fournisseurs de services Internet locaux à ligne fixe.

Mesures Défensives et Bonnes Pratiques face à l’hameçonnage Azure

Pour contrer cette campagne en cours, Proofpoint recommande une série de mesures défensives. Les organisations peuvent se laisser guider pour les mettre en œuvre. Ainsi elles vont renforcer leur posture de sécurité au sein des environnements Microsoft Azure et Office 365. Ces mesures incluent :

  • Une surveillance vigilante pour la chaîne d’agent utilisateur spécifique et les domaines sources dans les journaux système.
  • Des réinitialisations immédiates de mot de passe pour les comptes compromis. Effectuer des mises à jour régulières de mot de passe pour tous les utilisateurs.
  • L’utilisation d’outils de sécurité pour détecter rapidement les événements de prise de contrôle de compte.
  • L’adoption de mesures d’atténuation standard de l’industrie contre les vecteurs d’attaque courants tels que le phishing, le brute-forcing et le password-spraying.
  • L’établissement de politiques pour une réponse automatique aux menaces.

En adhérant à ces suggestions, les organisations peuvent améliorer leur capacité à détecter les incidents rapidement. Elles peuvent répondre efficacement et réduire significativement la fenêtre d’opportunité pour les attaquants de séjourner au sein de leurs systèmes.

Conclusion

La campagne de phishing en cours ciblant les comptes Microsoft Azure est un rappel sévère de la nature persistante et sophistiquée des menaces cybernétiques. Les organisations doivent rester vigilantes et proactives dans la mise en œuvre de mesures de sécurité robustes pour protéger leurs actifs numériques et l’intégrité de leurs opérations. À travers des stratégies de défense complètes et une conscience constante, le risque posé par de telles campagnes peut être atténué. Cela permet d’assurer un environnement cyber sécurisé et résilient pour toutes les parties impliquées.

Si vous ou votre entreprise avez été victime d’une arnaque de ce type, N’HÉSITEZ PAS À NOUS CONTACTER pour plus d’informations. Nous pouvons vous assister que ce soit pour les recours légaux grâce à notre réseau d’avocats ou bien pour la réponse à incident avec nos partenaires cyber. N’hésitez pas à consulter NOTRE PAGE DE VICTOIRES et NOS REPORTAGES À LA TÉLÉVISION.

Marc Bouzy

Marc Bouzy

Depuis 2014, j’ai accompagné plus de 2 500 victimes d’arnaques et d’escroqueries financières dans le cadre de récupération de plus de 7 millions euros de capital. L’abus de confiance de certains sites de trading à l’apparence légale sont autant de supports utilisés en lignes pour prendre l’argent ou cryptomonnaie de particuliers français. Broker Defense rassemble des experts légaux, avocats et juristes, en France et en Europe. Nous sommes spécialisés en récupération de fonds perdus liés à des escroqueries en trading, crypto monnaie et abus de confiance. Pour plus d’informations

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

SERVICE DE VÉRIFICATION

Vérifier le destinataire de votre paiement avant d’effectuer votre virement

Verifier un site

ÉTUDE DE TRAÇAGE

Litiges cryptoactifs

DEMANDEZ UNE ÉTUDE DE TRAÇAGE

SERVICES

BROKER DEFENSE

Offres spécifiques en matière de gestion des litiges dans le domaine de l’investissement et des escroqueries financières.

Découvrir notre offre

Ceci pourrait vous intéresser

Support technique

Expertises

  • Courtier
  • Banque
  • CB / Processeur
  • Intermédiaires
  • Regulateurs
  • Justice / Police

Broker Defense © Copyright 2013-2023, Tous droits réservés BROKER DEFENSE FRANCE SAS