Les analystes des menaces ont observé une nouvelle campagne nommée « OiVaVoii », ciblant les dirigeants et les directeurs généraux des entreprises avec des applications OAuth malveillantes et des leurres de phishing personnalisés envoyés à partir de comptes Office 365 piratés.
Selon un rapport de Proofpoint, la campagne est toujours en cours, bien que Microsoft surveille l’activité et ait déjà bloqué la plupart des applications.
L’impact des prises de contrôle de comptes exécutifs va du mouvement latéral sur le réseau et du phishing d’initiés au déploiement de ransomwares et d’incidents de compromission des e-mails professionnels.
Utiliser des applications OAuth
OAuth est une norme d’authentification et d’autorisation basée sur des jetons, supprimant la nécessité de saisir des mots de passe de compte.
Les applications qui utilisent OAuth nécessitent des autorisations spécifiques telles que les autorisations de lecture et d’écriture de fichiers, l’accès au calendrier et aux e-mails, et l’autorisation d’envoi d’e-mails.
Le but de ce système est d’offrir une convivialité et une commodité accrues tout en maintenant un niveau de sécurité élevé dans des environnements dignes de confiance en réduisant l’exposition des informations d’identification.
Avec les jetons OAuth, les applications tierces basées sur le cloud peuvent accéder aux points de données nécessaires pour fournir aux entreprises des fonctionnalités de productivité sans obtenir les mots de passe des utilisateurs.
Les acteurs à l’origine de la campagne OiVaVoii ont utilisé au moins cinq applications OAuth malveillantes, dont quatre sont actuellement bloquées : « Upgrade », « Document », « Shared » et « UserInfo ».
Source : Proofpoint
Trois de ces applications ont été créées par des éditeurs vérifiés, ce qui indique que les acteurs de la menace ont compromis le compte d’un locataire Office légitime.
Les acteurs de la menace ont ensuite utilisé les applications pour envoyer des demandes d’autorisation aux cadres supérieurs des organisations ciblées. Dans de nombreux cas, les destinataires ont accepté les demandes, n’y voyant rien de suspect.
Lorsque les victimes appuient sur le bouton Accepter, les acteurs de la menace utilisent le jeton pour envoyer des e-mails depuis leurs comptes à d’autres employés de la même organisation.
Source : Proofpoint
S’ils cliquent sur Annuler, une manipulation dans l’URL de réponse les redirige vers l’écran de consentement, les verrouillant sur la même page jusqu’à ce qu’ils acceptent la demande d’autorisation.
Proofpoint mentionne également la probabilité d’attaques par proxy de l’homme du milieu qui pourraient également compromettre les informations d’identification du compte de la cible.
La campagne est toujours active
Quatre des applications OAuth malveillantes utilisées par les acteurs de cette campagne ont été bloquées, mais de nouvelles sont créées et utilisées de la même manière.
De plus, les dirigeants qui ont déjà été compromis et qui ont eu accès à leurs comptes restent des points à haut risque pour les organisations concernées.
Les entreprises potentiellement compromises doivent révoquer les autorisations, supprimer les applications, supprimer toutes les règles de boîte aux lettres malveillantes ajoutées par les acteurs et rechercher tous les fichiers supprimés.
Enfin, tous les employés doivent être formés pour suspecter les communications internes, en particulier les messages de cadres supérieurs qui ne correspondent pas à leurs pratiques commerciales standard.