Au cours des dernières semaines, les chercheurs de Proofpoint ont surveillé une campagne de piratage de comptes cloud en cours, impactant des dizaines d’environnements Microsoft Azure et compromettant des centaines de comptes d’utilisateurs, y compris des cadres supérieurs.
Avec ce billet de blog, faisant état de leurs recherches, Proofpoint veut envoyer un avertissement à la communauté concernant l’attaque en question et propose des suggestions que les organisations concernées peuvent mettre en œuvre pour s’en protéger. Pour rappel, fin novembre 2023, les chercheurs de Proofpoint ont détecté une nouvelle campagne malveillante, intégrant des techniques de phishing d’identifiants et de prise de contrôle de compte cloud (ATO). Dans le cadre de cette campagne, toujours active, les acteurs malveillants ciblent les utilisateurs avec des leurres de phishing individualisés au sein de documents partagés. Par exemple, certains documents militarisés incluent des liens intégrés vers « Afficher le document » qui, à leur tour, redirigent les utilisateurs vers une page Web de phishing malveillante lorsqu’ils cliquent sur l’URL. Les acteurs de la menace semblent se concentrer sur un large éventail d’individus détenant divers titres au sein de différentes organisations, affectant ainsi des centaines d’utilisateurs dans le monde.
L’attaque au président, encore et toujours là
La base d’utilisateurs concernés englobe un large éventail de postes, avec des cibles fréquentes telles que les directeurs commerciaux, les directeurs de comptes et les directeurs financiers. Des personnes occupant des postes de direction tels que « vice-président, opérations », « directeur financier et trésorier » et « président et chef de la direction » figuraient également parmi les personnes ciblées. La sélection variée de rôles ciblés indique une stratégie pratique des acteurs de la menace, visant à compromettre les comptes avec différents niveaux d’accès à des ressources et des responsabilités précieuses dans les fonctions organisationnelles. En suivant les modèles de comportement et les techniques de l’attaque, nos analystes des menaces ont identifié des indicateurs de compromission (IOC) spécifiques associés à cette campagne. À savoir, l’utilisation d’un user-agent Linux spécifique utilisé par les attaquants pendant la phase d’accès de la chaîne d’attaque : Mozilla/5.0 (X11 ; Linux x86_64) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/120.0.0.0 Safari/537.36
Un accès non autorisé à des applications Microsoft365 natives supplémentaires
Les attaquants utilisent principalement cet agent utilisateur pour accéder à l’application de connexion « OfficeHome » ainsi qu’un accès non autorisé à des applications Microsoft365 natives supplémentaires, telles que :
- « Office365 Shell WCSS-Client » (indicatif de l’accès du navigateur aux applications Office365)
- « Office 365 Exchange Online » (indicateur d’abus de boîtes aux lettres après compromission, d’exfiltration de données et de prolifération de menaces par courrier électronique)
- « Mes identifiants » (utilisé par les attaquants pour la manipulation MFA ; pour plus d’informations sur cette technique, consultez notre récent blog Cybersecurity Stop of the Month )
- ‘Mes applications’
- ‘Mon profil’
