Microsoft a révélé mercredi qu’il avait identifié un ensemble d’attaques d’ingénierie sociale très ciblées montées par un acteur menaçant d’un État-nation russe utilisant des leurres de phishing de vol d’informations d’identification envoyés lors de discussions Microsoft Teams.
Le géant de la technologie a attribué les attaques à un groupe qu’il suit comme Blizzard de minuit (anciennement Nobelium). Il s’appelle également APT29, BlueBravo, Cozy Bear, Iron Hemlock et The Dukes.
« Dans cette dernière activité, l’acteur de la menace utilise des locataires Microsoft 365 précédemment compromis appartenant à de petites entreprises pour créer de nouveaux domaines qui apparaissent comme des entités de support technique », a déclaré la société.
« En utilisant ces domaines de locataires compromis, Midnight Blizzard exploite les messages Teams pour envoyer des leurres qui tentent de voler les informations d’identification d’une organisation ciblée en engageant un utilisateur et en obtenant l’approbation des invites d’authentification multifacteur (MFA). »
Microsoft a déclaré que la campagne, observée depuis au moins fin mai 2023, a touché moins de 40 organisations dans le monde couvrant les secteurs gouvernementaux, non gouvernementaux (ONG), des services informatiques, de la technologie, de la fabrication discrète et des médias.
Il a été observé que l’auteur de la menace utilise des techniques de vol de jetons pour l’accès initial aux environnements ciblés, ainsi que d’autres méthodes telles que l’authentification par hameçonnage, la pulvérisation de mots de passe et les attaques par force brute.
Une autre caractéristique connue est son exploitation des environnements sur site pour se déplacer latéralement vers le cloud ainsi que l’abus de la chaîne de confiance des fournisseurs de services pour accéder aux clients en aval, comme observé dans le piratage SolarWinds de 2020.
Dans la nouvelle série d’attaques liées à Midnight Blizzard, un nouveau sous-domaine onmicrosoft.com est ajouté à un locataire précédemment compromis par des attaques, suivi de la création d’un nouvel utilisateur avec ce sous-domaine pour initier une demande de chat Teams avec des cibles potentielles en se faisant passer pour un technicien l’assistance technique ou l’équipe de protection de l’identité de Microsoft.
« Si l’utilisateur cible accepte la demande de message, l’utilisateur reçoit alors un message Microsoft Teams de l’attaquant tentant de le convaincre de saisir un code dans l’application Microsoft Authenticator sur son appareil mobile », a expliqué Microsoft.
Si la victime suit les instructions, l’auteur de la menace reçoit un jeton pour s’authentifier en tant qu’utilisateur ciblé, permettant ainsi la prise de contrôle du compte et l’activité de suivi après la compromission.
« Dans certains cas, l’acteur tente d’ajouter un appareil à l’organisation en tant qu’appareil géré via Microsoft Entra ID (anciennement Azure Active Directory), probablement une tentative de contourner les politiques d’accès conditionnel configurées pour restreindre l’accès à des ressources spécifiques aux appareils gérés uniquement, » Microsoft a mis en garde.
Les conclusions surviennent quelques jours après que l’acteur de la menace a été attribué à des attaques de phishing visant des entités diplomatiques dans toute l’Europe de l’Est dans le but de fournir une nouvelle porte dérobée appelée GraphicalProton.
Ils font également suite à la découverte de plusieurs nouveaux vecteurs d’attaque Azure AD (AAD) Connect qui pourraient permettre aux cyberacteurs malveillants de créer une porte dérobée indétectable en volant des hachages cryptographiques de mots de passe en injectant du code malveillant dans un processus de synchronisation de hachage et en interceptant les informations d’identification au moyen d’un adversaire. – attaque au milieu (AitM).
« Par exemple, les attaquants peuvent tirer parti de l’extraction des hachages NT pour s’assurer qu’ils reçoivent chaque changement de mot de passe futur dans le domaine », a déclaré Sygnia dans un communiqué partagé avec The Hacker News.
« Les acteurs de la menace peuvent également utiliser [Active Directory Certificate Services] pour obtenir les mots de passe du connecteur AAD, ainsi que pour servir d’homme du milieu et lancer des attaques contre les canaux cryptés SSL du réseau en exploitant les erreurs de configuration dans les modèles de certificats dotés d’une authentification de serveur.
