Les analystes des menaces de Microsoft ont découvert une campagne de phishing à grande échelle et en plusieurs phases qui utilise des informations d’identification volées pour enregistrer des appareils sur le réseau de la cible et les utiliser pour distribuer des e-mails de phishing.
Comme le souligne le rapport, les attaques ne se sont manifestées que par le biais de comptes dépourvus de protection par authentification multifacteur (MFA), ce qui a facilité leur piratage.
Les leurres utilisés à cette fin sont des e-mails sur le thème de DocuSign qui incitent le destinataire à examiner et à signer le document joint.
Source : Microsoft
Les liens intégrés dirigent la victime vers une URL de phishing qui imite la page de connexion d’Office 365 et pré-remplit le nom d’utilisateur de la victime pour une crédibilité accrue.
Les destinataires de la deuxième vague d’e-mails sont les employés de l’entreprise ciblée et des cibles externes telles que des sous-traitants, des fournisseurs, des partenaires, etc.
Parce que ces e-mails proviennent d’un espace de travail de confiance, ils ne sont pas signalés par les solutions de sécurité et portent un élément intrinsèque de légitimité qui augmente les chances de succès des acteurs.
Source : Microsoft
Un filtre anti-spam qui n’était pas
Les données de télémétrie de Microsoft indiquent que la première phase des attaques s’est concentrée principalement sur des entreprises situées en Australie, à Singapour, en Indonésie et en Thaïlande.
Les acteurs ont tenté de compromettre les employés travaillant à distance, les points de service gérés mal protégés et d’autres infrastructures susceptibles de fonctionner en dehors des politiques de sécurité strictes.
Les analystes de Microsoft ont pu repérer la menace en détectant la création anormale de règles de boîte de réception, ce que les acteurs ont fait immédiatement après avoir pris le contrôle d’un appareil faisant partie du réseau de l’entreprise.
« En tirant parti de la connexion PowerShell à distance, l’attaquant a mis en place une règle de boîte de réception via l’applet de commande New-InboxRule qui a supprimé certains messages en fonction de mots clés dans l’objet ou le corps du message électronique », – les détails du rapport.
« La règle de la boîte de réception a permis aux attaquants d’éviter d’éveiller les soupçons des utilisateurs compromis en supprimant les rapports de non-livraison et les e-mails de notification informatique qui auraient pu être envoyés à l’utilisateur compromis. »
L’enquête qui a suivi a révélé que plus d’une centaine de boîtes aux lettres dans plusieurs organisations avaient été compromises par des règles de boîtes aux lettres malveillantes appelées « Spam Filter ».
Inscription sur Azure AD
Les acteurs ont tenté d’enregistrer des appareils malveillants sur l’instance Azure AD de l’organisation, dans l’espoir d’appliquer des politiques qui faciliteraient le phishing latéral.
Azure AD déclenche un horodatage d’activité lorsqu’un appareil tente de s’authentifier, ce qui était la deuxième chance pour les défenseurs de découvrir des inscriptions potentiellement suspectes.
Source : Microsoft
Si l’enregistrement passe inaperçu, les acteurs sont autorisés à envoyer des messages à partir d’une partie reconnue et approuvée du domaine en utilisant les informations d’identification valides volées sur Outlook.
La deuxième vague de messages de phishing était beaucoup plus volumineuse que la première, comptant plus de 8 500 e-mails sur le thème de SharePoint avec une pièce jointe « Payment.pdf ».
Cette campagne de phishing était astucieuse et modérément réussie, mais elle ne serait pas aussi efficace si les entreprises ciblées suivaient l’une de ces pratiques :
- Tous les employés avaient activé MFA sur leurs comptes Office 365.
- Déployez des solutions de protection des terminaux capables de détecter la création de règles de boîte de réception.
- L’inscription des appareils Azure AD est étroitement surveillée.
- L’inscription Azure AD nécessite MFA.
- Des politiques de confiance zéro sont utilisées dans toutes les parties du réseau de l’organisation.