Récemment, les experts Defender de Microsoft ont découvert une attaque sophistiquée d'hameçonnage et de compromission de courriels d'entreprise (BEC) en plusieurs étapes par un adversaire au milieu (AiTM), qui visait les organisations de services bancaires et financiers. L'attaque, répertoriée sous le nom de Storm-1167, a été lancée à partir d'un fournisseur de confiance compromis et s'est transformée en une série d'attaques AiTM et d'activités BEC subséquentes couvrant plusieurs organisations. L'objectif était la fraude financière, en exploitant les relations de confiance entre les vendeurs, les fournisseurs et les organisations partenaires.
L'attaque AiTM de phishing et de BEC en plusieurs étapes a commencé par un courriel de phishing provenant d'un fournisseur de confiance, qui contenait un code unique à sept chiffres en tant qu'objet. Le corps du courriel comprenait un lien permettant de visualiser ou de télécharger un document faxé, qui menait à une URL malveillante hébergée sur Canva.com. Les attaquants ont habilement exploité le service légitime Canva pour la campagne de phishing, en l'utilisant pour héberger une page qui affichait un faux aperçu de document OneDrive et renvoyait à une URL de phishing.
Une fois que les victimes ont cliqué sur l'URL, elles ont été redirigées vers une page de phishing hébergée sur la plateforme cloud de Tencent qui usurpait une page de connexion Microsoft. Après que les victimes ont fourni leurs mots de passe, les attaquants ont lancé une session d'authentification avec les informations d'identification des victimes. Lorsqu'ils ont été invités à procéder à une authentification multifactorielle (MFA), les attaquants ont modifié la page d'hameçonnage en une fausse page MFA. Une fois que les victimes ont complété l'AMF, le jeton de session a été capturé par les attaquants.
Les attaquants ont ensuite utilisé le cookie de session volé pour usurper l'identité des victimes, contournant ainsi les mécanismes d'authentification des mots de passe et du MFA. Ils ont accédé à des conversations de messagerie et à des documents hébergés dans le cloud, et ont même généré un nouveau jeton d'accès, ce qui leur a permis de persister plus longtemps dans l'environnement. Les attaquants ont également ajouté une nouvelle méthode MFA pour les comptes des victimes, en utilisant un service de mot de passe à usage unique (OTP) basé sur le téléphone, pour se connecter sans être détectés.
Les attaquants ont ensuite lancé une campagne de phishing à grande échelle impliquant plus de 16 000 courriels avec une URL Canva légèrement modifiée. Les courriels ont été envoyés aux contacts de l'utilisateur compromis, à l'intérieur et à l'extérieur de l'organisation, ainsi qu'à des listes de distribution. Les destinataires ont été identifiés en fonction des fils de discussion récents dans la boîte de réception de l'utilisateur compromis. L'objet des courriels contenait un code unique à sept chiffres, peut-être une tactique de l'attaquant pour garder une trace des organisations et des chaînes de courriels.
Les destinataires des courriels d'hameçonnage qui ont cliqué sur l'URL malveillante ont également été ciblés par une autre attaque AiTM. Les experts de Microsoft Defender ont identifié tous les utilisateurs compromis en se basant sur l'IP d'atterrissage et les modèles d'IP de connexion. L'attaquant a été observé en train de lancer une autre campagne de phishing à partir de la boîte aux lettres de l'un des utilisateurs compromis par la deuxième attaque AiTM.
Cet incident met en évidence la complexité des attaques AiTM et les défenses complètes qu'elles nécessitent. Il souligne également l'importance de la chasse aux menaces proactive pour découvrir de nouvelles tactiques, techniques et procédures (TTP) sur des campagnes déjà connues afin de faire remonter à la surface et de remédier à ces types de menaces. L'évolution constante de ces menaces, comme l'utilisation d'un proxy indirect dans cette campagne, illustre la nécessité pour les organisations de rester vigilantes et proactives dans leurs mesures de cybersécurité.
