Au fur et à mesure que le cloud progresse au sein des entreprises, les cybercriminels s’y intéressent aussi de près. Les experts de Proofpoint ont mis à jour une campagne de piratage particulièrement ciblée. Elle a touché en effet des comptes cloud de dirigeants d’entreprises via du phishing. « La sélection variée de rôles ciblés indique une stratégie pratique de la part des acteurs de la menace, visant à compromettre les comptes avec différents niveaux d'accès à des ressources et des responsabilités précieuses dans les fonctions organisationnelles », observe les chercheurs. Les titres comprenaient le directeur des ventes, le directeur de comptes, le directeur financier, le vice-président des opérations, le directeur financier, le président et le DG.
Un phishing personnalisé et l’installation de son propre MFA
Les campagnes utilisent du phishing individualisé via la fonctionnalité de partage de documents. Bien que cette technique ne soit pas particulièrement nouvelle, le ciblage et les mouvements latéraux utilisés par les attaquants ont augmenté le taux de réussite de l’attaque, démontrant que les méthodes de phishing relativement basiques restent efficaces. Après avoir compromis un compte, les attaquants prennent plusieurs mesures pour s'assurer qu'ils conservent leur accès et ne soient pas facilement découverts. En plus d'ajouter leur propre méthode MFA, ils créent des règles de boîte aux lettres destinées à masquer leurs traces et à effacer les preuves de leur activité malveillante.
Le but ultime de l'attaque semble être la fraude financière ou la compromission des emails professionnels (BEC), les attaquants envoyant des courriels depuis des comptes compromis aux employés des services des ressources humaines et financiers. Ils téléchargent également des fichiers sensibles contenant des informations sur les actifs financiers, les protocoles de sécurité internes et les informations d'identification des utilisateurs afin de mieux préparer leurs messages frauduleux. Les mouvements latéraux sont également un élément clef de l'attaque, des emails de phishing étant envoyés à d'autres employés clefs de l'entreprise à partir des comptes compromis.
Indicateurs de l'attaque de piratage de compte Microsoft Azure
« Notre analyse post-mortem de l'attaque a mis en évidence plusieurs proxys, services d'hébergement de données et domaines piratés, constituant l'infrastructure opérationnelle des cybercriminels », ont expliqué les chercheurs de Proofpoint. Ils ont notamment utilisés « des services proxy pour aligner l'origine géographique apparente des activités non autorisées sur celle des victimes ciblées, évitant ainsi les politiques de géolocalisation ». En outre, l’utilisation de services proxy aléatoire permet aux auteurs de menaces de masquer leur véritable emplacement et crée un défi supplémentaire pour les défenseurs cherchant à bloquer les activités malveillantes. Cela dit, les attaquants ont également été observés en train d'utiliser certaines adresses IP fixes de FAI en Russie et au Nigeria, potentiellement dans le cadre de faux pas révélant leur véritable emplacement.
Les chercheurs ont également observé que deux chaînes d'agent-utilisateur uniques servaient aux attaquants lors de l'accès aux comptes compromis. Ceux-ci pourraient être utilisés, avec les domaines d’infrastructure et les informations IP, comme indicateurs de compromission pour élaborer des règles de détection. Les applications Microsoft les plus fréquemment consultées dans les logs sont OfficeHome, Office365 Shell WCSS-Client (l'application du navigateur Web Office 365), Office 365 Exchange Online, Mes connexions, Mes applications et Mon profil.
Des conseils pour modérer les attaques
Proofpoint conseille aux entreprises de surveiller la chaîne d'agent-utilisateur et les domaines sources spécifiques dans leurs logs, d'imposer immédiatement des modifications d'informations d'identification pour les utilisateurs ciblés ou compromis et de forcer les changements de mot de passe périodiques pour l’ensemble des collaborateurs.
Les entreprises doivent également essayer d’identifier toutes les activités post-compromission ainsi que les vecteurs d’entrée initiaux : phishing, malware, usurpation d’identité, force brute, pulvérisation de mots de passe, etc. L’élaboration et l’utilisation de politiques de correction automatique pourraient minimiser l’accès des attaquants aux comptes et les dommages potentiels.