L’acteur de menace russe Cozy Bear (également connu sous le nom d’APT29 ou Nobelium) déploie de nouvelles tactiques pour se faufiler dans les comptes Microsoft 365, dans le but de voler des renseignements sensibles sur la politique étrangère.
C’est selon un nouveau rapport de la société de cybersécurité Mandiant, qui affirme que Cozy Bear utilise trois techniques pour exécuter (et déguiser) les attaques :
- Désactivation de Purview Audit avant de s’engager avec un compte de messagerie compromis
- Forcer brutalement les mots de passe Microsoft 365 qui ne sont pas encore inscrits à l’authentification multifacteur (MFA)
- Couvrir leurs traces en utilisant des machines virtuelles Azure via des comptes compromis ou en achetant le service
Nouvelle attaque Microsoft 365
Purview Audit, rappellent les chercheurs, est une fonctionnalité de sécurité de haut niveau qui enregistre si une personne accède à un compte de messagerie en dehors du programme (soit via le navigateur, l’API Graph ou via Outlook). De cette façon, les services informatiques peuvent gérer tous les comptes et s’assurer qu’il n’y a pas d’accès non autorisé.
« Il s’agit d’une source de journal essentielle pour déterminer si un acteur malveillant accède à une boîte aux lettres particulière, ainsi que pour déterminer l’étendue de l’exposition », a écrit Mandiant. « C’est le seul moyen de déterminer efficacement l’accès à une boîte aux lettres particulière lorsque l’auteur de la menace utilise des techniques telles que l’emprunt d’identité d’application ou l’API Graph. »
Cependant, APT29 est bien conscient de cette fonctionnalité et s’assure de la désactiver avant d’accéder à un e-mail.
Les chercheurs ont également découvert que Cozy Bear abusait du processus d’auto-inscription pour MFA dans Azure Active Directory (AD). Lorsqu’un utilisateur essaie de se connecter pour la première fois, il doit d’abord activer MFA sur le compte.
Les acteurs de la menace cherchent à contourner cette fonctionnalité en forçant brutalement les comptes qui ne sont pas encore inscrits à la fonctionnalité de cybersécurité avancée. Ensuite, ils terminent le processus à la place de la victime, accordant un accès illimité à l’infrastructure VPN de l’organisation cible, et donc à l’ensemble du réseau et de ses terminaux.
Enfin, les machines virtuelles d’Azure détiennent déjà des adresses IP Microsoft, et du fait que Microsoft 365 s’exécute sur Azure, les équipes informatiques ont du mal à différencier le trafic régulier et malveillant. Cozy Bear peut masquer davantage son activité Azure AD en mélangeant des URL d’adresse d’application régulières avec une activité malveillante.
La probabilité que des utilisateurs réguliers soient ciblés par le groupe de menaces est vraisemblablement relativement faible, mais les grandes entreprises devront être attentives au vecteur d’attaque, qui pourrait être utilisé pour cibler des cadres de haut niveau et d’autres personnes ayant accès à des informations sensibles.