Discussion :

[Nancy Rey]

Microsoft affirme que des pirates informatiques liés à la Russie sont à l'origine de dizaines d'attaques
de phishing par Teams

Un groupe de piratage lié au gouvernement russe a visé des dizaines d'organisations mondiales avec une campagne visant à voler les identifiants de connexion en engageant des utilisateurs dans des discussions Microsoft Teams prétendant provenir du support technique, ont déclaré des chercheurs de Microsoft. Ces attaques d'ingénierie sociale "hautement ciblées" ont touché "moins de 40 organisations mondiales uniques" depuis fin mai, ont déclaré des chercheurs de Microsoft dans un blog, ajoutant que la société enquêtait.

Les pirates ont configuré des domaines et des comptes qui ressemblaient à un support technique et ont tenté d'engager les utilisateurs de Teams dans des discussions et de les amener à approuver les invites d'authentification multifacteur (MFA), ont déclaré les chercheurs. « Microsoft a empêché l'acteur d'utiliser les domaines et continue d'enquêter sur cette activité et de travailler pour remédier à l'impact de l'attaque », ont-ils ajouté.

Microsoft Threat Intelligence a identifié des attaques d'ingénierie sociale très ciblées à l'aide de leurres de phishing de vol d'informations d'identification envoyés lors des discussions Microsoft Teams par l'acteur menaçant que Microsoft suit sous le nom de Midnight Blizzard (précédemment suivi sous le nom de NOBELIUM). Cette dernière attaque, combinée à des activités passées, démontre davantage l'exécution continue de ses objectifs par Midnight Blizzard en utilisant à la fois des techniques nouvelles et courantes. Dans cette dernière activité, l'auteur de la menace utilise des locataires Microsoft 365 précédemment compromis appartenant à de petites entreprises pour créer de nouveaux domaines qui apparaissent comme des entités de support technique. En utilisant ces domaines de locataires compromis, Midnight Blizzard exploite les messages Teams pour envoyer des leurres qui tentent de voler les informations d'identification d'une organisation ciblée en engageant un utilisateur et en obtenant l'approbation des invites d'authentification multifactorielle (MFA). Comme pour tout leurre d'ingénierie sociale, nous encourageons les organisations à renforcer les meilleures pratiques de sécurité pour tous les utilisateurs et à souligner que toute demande d'authentification non initiée par l'utilisateur doit être traitée comme malveillante.

Teams est la plate-forme de communication d'entreprise propriétaire de Microsoft, avec plus de 280 millions d'utilisateurs actifs, selon les états financiers de janvier de la société. Les MFA sont une mesure de sécurité largement recommandée visant à empêcher le piratage ou le vol d'informations d'identification. Le ciblage des équipes suggère que les pirates trouvent de nouvelles façons de le contourner.

Le groupe de piratage à l'origine de cette activité, connu dans l'industrie sous le nom de Midnight Blizzard ou APT29, est basé en Russie et les gouvernements britannique et américain l'ont lié au service de renseignement étranger du pays, ont déclaré les chercheurs.

« organisations ciblées dans cette activité indiquent probablement des objectifs d'espionnage spécifiques par Midnight Blizzard dirigés contre le gouvernement, les organisations non gouvernementales (ONG), les services informatiques, la technologie, la fabrication discrète et les secteurs des médias », ont-ils déclaré, sans nommer aucune des cibles.

« Cette dernière attaque, combinée à des activités passées, démontre une fois de plus l'exécution continue par Midnight Blizzard de ses objectifs en utilisant à la fois des techniques nouvelles et courantes », ont écrit les chercheurs. Midnight Blizzard est connu pour cibler de telles organisations, principalement aux États-Unis et en Europe, depuis 2018, ont-ils ajouté.

Les pirates ont utilisé des comptes Microsoft 365 déjà compromis appartenant à de petites entreprises pour créer de nouveaux domaines qui semblaient être des entités de support technique et contenaient le mot "microsoft", selon les détails du blog Microsoft. Les comptes liés à ces domaines ont ensuite envoyé des messages de phishing pour appâter les gens via Teams, ont déclaré les chercheurs.

Source : Microsoft

Et vous ?

Votre organisation a-t-elle déjà été victime d'attaques phishing par Teams ?
Que pensez-vous des mesures de protection proposées pour sécuriser Teams ?
Sont-elles déjà mises en place au sein de votre entreprise ?

Voir aussi :

Le nombre d'utilisateurs de Microsoft 365 augmente rapidement, les risques liés à son utilisation aussi, par Damien Frey, Country Manager France, chez Varonis

Les cyberattaques mondiales ont augmenté de 38 % en 2022, celles en Europe ont augmenté de 26 %, la France a connu une augmentation de 19 % des cyberattaques, selon Checkpoint

Google introduit les domaines de premier niveau .zip et .mov et suscite des préoccupations en matière de sécurité sur Internet, ils pourraient être utilisés dans des attaques par hameçonnage

Malgré le correctif de Microsoft dans son serveur de messagerie Exchange, le gouvernement US met en garde contre la "menace active qui continue de se développer" et appelle à l'action

[Anthony]

Des chercheurs ont mis au jour une campagne soutenue et continue menée par des espions russes qui utilisent une technique astucieuse d'hameçonnage par code d'appareil pour détourner des comptes Microsoft 365

Les chercheurs en menaces de Microsoft ont découvert une série de ce qu'ils appellent des attaques de phishing par « code d'appareil » qui ont permis à un groupe de menaces présumé allié à la Russie d'accéder à des organisations d'infrastructures critiques et de leur voler des données, a déclaré l'entreprise dans un récent rapport.

Ces attaques récemment découvertes semblent suivre un modèle de cyberespionnage lié à la Russie déjà observé par le passé. En effet, Microsoft a révélé en 2023 que des pirates informatiques liés à la Russie étaient à l'origine de dizaines d'attaques par hameçonnage via Teams. La campagne, que Microsoft a qualifiée de « très ciblée », aurait touché un peu moins d'une quarantaine d'organisations dans le monde, dont des agences gouvernementales et des entreprises du secteur privé.

L'actuel groupe de menaces, que Microsoft suit sous le nom de Storm-2372, a ciblé des gouvernements, des services informatiques et des organisations opérant dans les secteurs des télécommunications, de la santé, de l'enseignement supérieur et de l'énergie en Europe, en Amérique du Nord, en Afrique et au Moyen-Orient.

Microsoft a observé que les attaquants généraient une demande légitime d'authentification par code d'appareil, puis dupaient les utilisateurs ciblés pour qu'ils saisissent le code dans une page de connexion à des applications de productivité. En exploitant le flux d'authentification du code d'appareil, Storm-2372 a pu accéder aux systèmes ciblés, capturer des jetons d'authentification et utiliser ces jetons valides pour effectuer des mouvements latéraux et voler des données.

« Ces attaques ont été couronnées de succès, bien que Microsoft elle-même ne soit pas touchée », a déclaré Sherrod DeGrippo, directrice de la stratégie de renseignement sur les menaces chez Microsoft, dans une vidéo résumant les conclusions du rapport.

Des courriels d'hameçonnage déguisés en invitations à des réunions Teams

Storm-2372 a probablement mis en place des leurres de phishing en ciblant des victimes potentielles via des applications de messagerie, telles que Microsoft Teams, WhatsApp et Signal. Microsoft a observé que les attaquants se faisaient passer pour une personne importante afin d'établir un faux rapport avec les cibles avant d'envoyer des e-mails de phishing de suivi déguisés en invitations à des réunions Microsoft Teams.

Les fausses invitations à des réunions Teams ont incité les cibles à remplir une demande d'authentification du code d'appareil avec le code Storm-2372 inclus comme faux identifiant de la réunion. Selon Microsoft, cette chaîne d'attaque a permis à Storm-2372 d'obtenir un accès initial aux comptes des victimes, ce qui a permis aux attaquants d'utiliser la session valide pour se déplacer latéralement au sein du réseau compromis.

Les chercheurs ont observé que les attaquants envoyaient à d'autres utilisateurs des courriels d'hameçonnage intra-organisationnels contenant des demandes d'authentification du code d'appareil à partir du compte compromis, ce qui a élargi l'étendue de l'accès au réseau.

Le groupe de menace suspecté d'œuvrer pour l'État-nation russe a également utilisé Microsoft Graph pour récupérer des courriels et rechercher des messages contenant des mots-clés, tels que nom d'utilisateur, mot de passe, admin, teamviewer, anydesk, credentials, secret, ministry et gov. « Microsoft a ensuite observé l'exfiltration, via Microsoft Graph, des courriels trouvés lors de ces recherches », indique le rapport.

Microsoft a déclaré que les techniques utilisées par Storm-2372 pouvaient permettre un accès persistant tant que les jetons restaient valides.

La taxonomie Storm est une désignation temporaire que Microsoft attribue à des groupes de menaces inconnues ou émergentes. Le Centre de renseignement sur les menaces de Microsoft a un niveau de confiance moyen dans le fait que Storm-2372 s'aligne sur les intérêts de la Russie.

Des techniques déjà adoptées par des groupes de menaces russes

Les activités de Storm-2372 se chevauchent avec celles d'autres groupes de menace utilisant des techniques similaires., mais semblent distinctes de ces groupes. Fin janvier, les chercheurs de Volexity ont repéré un trio de groupes de menaces étatiques russes utilisant des attaques de phishing par code d'appareil pour accéder à des comptes Microsoft 365 très ciblés.

Volexity a observé des activités post-exploitation uniques dans le cadre de ces attaques, mais toutes les compromissions étaient liées à des leurres d'hameçonnage avec authentification du code d'appareil, a déclaré la société de renseignement sur les menaces dans une étude publiée le jeudi 13 février.

Volexity attribue avec une confiance moyenne l'une des activités du groupe de menace basé en Russie à Midnight Blizzard, un groupe qu'il suit sous le nom de CozyLarch. Les chercheurs reconnaissent que toutes les activités pourraient être attribuées au même groupe de menace, mais en raison des différences dans les opérations, ils suivent les autres groupes d'activités comme UTA0304 et UTA0307.

Dans une attaque très ciblée contre un client de Volexity, un pirate prétendant être un haut fonctionnaire du ministère ukrainien de la défense a contacté la victime sur Signal, puis lui a envoyé un courrier électronique conçu pour ressembler à une invitation à une discussion sur l'application de messagerie Element.

Les chercheurs de Volexity ont déterminé que l'attaquant a ensuite dupé la victime en l'incitant à cliquer sur un lien dans un courriel feignant d'être une invitation à un salon de discussion sécurisé, mais au lieu de cela, il a incité la victime à générer un code d'appareil qui a permis à l'attaquant d'accéder au compte de la victime.

Alors que Microsoft continue de faire face à la menace persistante des acteurs malveillants, l'entreprise a révélé au début de l'année 2024 que des pirates russes sont parvenus à voler le code source de Microsoft, après avoir espionné les comptes de messagerie de certains membres de son équipe dirigeante. Cette attaque, attribuée au même groupe que celui responsable du piratage de SolarWinds en 2020, a suscité des inquiétudes quant aux pratiques de sécurité de l'entreprise.

Sources : Rapport de Microsoft ; Sherrod DeGrippo, directrice de la stratégie de renseignement sur les menaces chez Microsoft

Et vous ?

Quel est votre avis sur le sujet ?
Selon vous, les mesures de mitigation et de protection actuelles sont-elles pertinentes pour contrer ces attaques ?

Voir aussi :

Les courriels de phishing générés par l'IA deviennent très efficaces pour cibler les cadres, les courriels hyper-personnalisés utilisent une immense quantité de données récupérées

Cyberattaque majeure : Microsoft révèle que des criminels russes ont volé encore plus d'e-mails que ce qui avait été initialement admis, suscitant des inquiétudes quant à la sécurité nationale des États-Unis

Microsoft poursuit un groupe "hacking-as-a-service" pour avoir créé des contenus illicites avec sa plateforme cloud d'IA Azure OpenAI, qui utilisait des API non documentées pour contourner les sécurités