L'acteur menaçant russe Cozy Bear (également connu sous le nom d'APT29 ou Nobelium) déploie de nouvelles tactiques pour infiltrer les comptes Microsoft 365, dans le but de voler des informations sensibles sur la politique étrangère.
C'est selon un nouveau rapport de la société de cybersécurité Mandiant, qui affirme que Cozy Bear utilise trois techniques pour exécuter (et déguiser) des attaques :
Nouvelle attaque Microsoft 365
Purview Audit, rappellent les chercheurs, est une fonctionnalité de sécurité de haut niveau qui enregistre si quelqu'un accède à un compte de messagerie en dehors du programme (soit via le navigateur, l'API Graph ou Outlook). De cette façon, les services informatiques peuvent gérer tous les comptes et s'assurer qu'il n'y a pas d'accès non autorisé.
"Il s'agit d'une source de journal critique pour déterminer si un acteur malveillant accède à une boîte aux lettres particulière, ainsi que pour déterminer l'étendue de l'exposition", a écrit Mandiant. "C'est le seul moyen de déterminer efficacement l'accès à une boîte aux lettres particulière lorsque l'auteur de la menace utilise des techniques telles que l'usurpation d'application ou l'API Graph."
Cependant, APT29 est bien conscient de cette fonctionnalité et s'assure de la désactiver avant d'accéder à un e-mail.
Les chercheurs ont également découvert que Cozy Bear abusait du processus d'auto-inscription pour MFA dans Azure Active Directory (AD). Lorsqu'un utilisateur tente de se connecter pour la première fois, il doit d'abord activer MFA sur le compte.
Les acteurs de la menace cherchent à contourner cette fonctionnalité en forçant brutalement les comptes qui ne sont pas encore enregistrés pour la fonctionnalité de cybersécurité avancée. Ils terminent ensuite le processus au nom de la victime, accordant un accès illimité à l'infrastructure VPN de l'organisation cible, et donc à l'ensemble du réseau et de ses terminaux.
Enfin, les machines virtuelles Azure ont déjà des adresses IP Microsoft, et puisque Microsoft 365 fonctionne sur Azure, les équipes informatiques ont du mal à faire la différence entre le trafic normal et malveillant. Cozy Bear peut masquer davantage votre activité Azure AD en mélangeant des URL d'application régulières avec une activité malveillante.
La probabilité que des utilisateurs réguliers soient ciblés par le groupe de menaces est relativement faible, mais les grandes entreprises devront tenir compte du vecteur d'attaque, qui pourrait être utilisé pour cibler des cadres de haut niveau et d'autres personnes ayant accès à des informations sensibles.