Une campagne de phishing cible les comptes Azure des cadres et des dirigeants d’entreprises
Fin novembre 2023, une campagne de phishing à l'origine de la compromission de centaines de comptes Microsoft Azure, a été détectée. La cible privilégiée de cette campagne malveillante : les cadres et les dirigeants d'entreprises. Faisons le point sur cette menace.
Cette nouvelle campagne malveillante a été repérée par les chercheurs en sécurité de chez Proofpoint à la fin du mois de novembre 2023, et elle est toujours active à ce jour. Dans le rapport mis en ligne par Proofpoint, nous pouvons lire : "Au cours des dernières semaines, les chercheurs de Proofpoint ont surveillé une campagne de prise de contrôle de comptes cloud en cours qui a impacté des dizaines d'environnements Microsoft Azure et compromis des centaines de comptes d'utilisateurs, y compris des cadres supérieurs."
Pour les cybercriminels, les cadres et les dirigeants d'entreprises sont une cible privilégiée. D'une part, car ils sont susceptibles d'avoir accès à des informations sensibles, et d'autre part car ils ont suffisamment de pouvoir pour autoriser des transactions financières : idéal pour détourner de l'argent. Le fait de compromettre ce type de compte ouvre des portes, que ce soit auprès des salariés de l'entreprise ou de partenaires. Proofpoint indique qu'il y a des directeurs de ventes, des responsables de comptes, des directeurs financiers et des présidents (CEO) parmi les victimes de cette campagne.
Dans le cas de cette campagne de phishing, la méthode est assez classique : une pièce jointe qui, lorsqu'on l'ouvre, contient un bouton "Voir le document", qui renvoie l'utilisateur vers une page web malveillante s'il clique sur le lien. Proofpoint a pu faire un lien entre les cybercriminels et les actions effectuées sur les comptes compromis, en identifiant le user-agent suivant :
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
En effet, cette chaine de user-agent a été associée à diverses activités malveillantes lors de la phase de post-compromission, notamment pour créer des règles dans les boites aux lettres, manipuler le MFA (enregistrement d'un nouveau numéro, par exemple) et effectuer de l'envoi d'e-mails malveillants en interne et en externe.
Enfin, le rapport de Proofpoint se termine par un ensemble de recommandations à destination des organisations afin de mieux protéger les environnements Azure et Microsoft 365 de ce type d'attaque. Par exemple, Proofpoint recommande d'obliger les utilisateurs compromis et ciblés à changer immédiatement leurs mots de passe dès qu'un événement suspect est détecté, et d'obliger tous les utilisateurs à changer périodiquement leur mot de passe.