Les pirates essaient une nouvelle méthode pour intensifier leurs campagnes de phishing en utilisant des informations d’identification Office 365 volées pour enregistrer des appareils Windows dans Azure Active Directory.
Si les attaquants parviennent à accéder à l’organisation, ils lanceront une deuxième vague de campagne, qui consistera à envoyer des e-mails de phishing supplémentaires à des cibles extérieures et internes à l’organisation.
Zones cibles
L’équipe Microsoft 365 Threat Intelligence surveille une campagne de logiciels malveillants ciblant des organisations en Australie et en Asie du Sud-Est.
Pour obtenir des informations sur leurs cibles, les attaquants ont envoyé des e-mails de phishing qui semblaient provenir de DocuSign. Lorsque les utilisateurs cliquaient sur le bouton Afficher le document , ils étaient redirigés vers une fausse page de connexion Office 365 préremplie avec leurs noms d’utilisateur.
« Les informations d’identification volées de la victime ont été immédiatement utilisées pour établir une connexion à Exchange Online PowerShell, très probablement à l’aide d’un script automatisé dans le cadre d’un kit de phishing. À l’aide d’une connexion à distance PowerShell, l’attaquant a injecté une règle de boîte de réception à l’aide de l’applet de commande New-InboxRule qui a supprimé certains messages en fonction de mots clés dans l’objet ou le corps du message électronique », a souligné l’équipe de renseignement.
Le filtre supprime automatiquement les messages contenant certains mots associés au spam, au phishing, au piratage et à la protection par mot de passe, de sorte que l’utilisateur légitime du compte ne recevra pas les avis de non-remise et les notifications par e-mail informatique qu’il pourrait voir autrement.
Les attaquants ont ensuite installé Microsoft Outlook sur leur ordinateur et l’ont connecté à Azure Active Directory de l’organisation victime, acceptant éventuellement l’invite d’enregistrement d’Outlook lors de la première exécution.
Enfin, une fois que la machine est devenue une partie d’un domaine et que le client de messagerie a été configuré comme n’importe quel autre usage courant dans les organisations, les e-mails de phishing provenant d’un compte compromis, les fausses invitations Sharepoint pointant vers une fausse page de connexion Office 365 sont devenus plus convaincants.
« Les victimes qui ont saisi leurs informations d’identification lors de la deuxième étape du site de phishing étaient également connectées à Exchange Online PowerShell et presque immédiatement, une règle a été créée pour supprimer les e-mails dans leurs boîtes aux lettres respectives. La règle avait les mêmes caractéristiques que la règle créée lors de la première étape de l’attaque de la campagne », a déclaré l’équipe.
Comment se déplacer
Les attaquants se sont appuyés sur des informations d’identification volées ; cependant, plusieurs utilisateurs avaient activé l’authentification multifacteur (MFA), ce qui a empêché le vol.
L’équipe a conseillé aux organisations d’activer l’authentification multifacteur pour tous les utilisateurs et de l’exiger lorsque les appareils sont joints à Azure AD, et d’envisager de désactiver Exchange Online PowerShell pour les utilisateurs finaux.
Microsoft a également partagé des alertes de menace pour aider les organisations à vérifier si leurs utilisateurs ont été compromis au cours de cette campagne, et a déclaré que les défenseurs devraient également révoquer les sessions actives et les jetons associés aux comptes compromis, supprimer les règles de boîte aux lettres créées par les attaquants et désactiver et supprimer les appareils malveillants qu’ils ont rejoints. . à Azure AD.
« L’amélioration continue de la visibilité et de la protection des appareils gérés oblige les attaquants à rechercher des chemins alternatifs. Alors que l’enregistrement de l’appareil a été utilisé pour d’autres attaques de phishing dans ce cas, l’utilisation de l’enregistrement de l’appareil est en augmentation car d’autres cas d’utilisation ont été observés. De plus, la disponibilité immédiate d’outils de test d’intrusion conçus pour faciliter cette technique ne fera qu’augmenter son utilisation par d’autres à l’avenir », a déclaré l’équipe.
Des failles à surveiller
Les analystes du renseignement sur les menaces de Microsoft ont récemment noté une campagne de phishing ciblant des centaines d’entreprises, cette fois une tentative d’inciter les employés à donner à une application appelée « Mise à jour » l’accès à leurs comptes Office 365.
« Les e-mails de phishing induisent les utilisateurs en erreur en accordant des autorisations aux applications qui pourraient permettre aux attaquants de créer des règles de boîte de réception, de lire et d’écrire des e-mails et des éléments de calendrier, et de lire des contacts. Microsoft a désactivé l’application dans Azure AD et a informé les clients concernés », ont-ils déclaré.
Les attaquants peuvent également contourner l’authentification multifacteur Office 365 en utilisant des applications malveillantes, en volant des codes d’autorisation ou en obtenant autrement des jetons d’accès au lieu de leurs informations d’identification.
Avez-vous déjà été victime de ces attaques de pirates ? Partagez votre expérience avec nous dans la section des commentaires ci-dessous.
Laisser un commentaire