Des « dizaines » d’organisations à travers le monde ont été ciblées dans le cadre d’un vaste compromis de messagerie professionnelle (BEC) qui impliquait l’utilisation de techniques d’adversaire au milieu (AitM) pour mener les attaques.
« A la suite d’une tentative de phishing réussie, l’acteur de la menace a obtenu un accès initial au compte de l’un des employés victimes et a exécuté une attaque » adversaire au milieu « pour contourner l’authentification Office365 et obtenir un accès persistant à ce compte », ont déclaré les chercheurs de Sygnia. a dit dans un rapport partagé avec The Hacker News.
« Une fois qu’il a gagné en persévérance, l’acteur de la menace a exfiltré les données du compte compromis et a utilisé son accès pour propager les attaques de phishing contre les employés d’autres victimes ainsi que plusieurs organisations externes ciblées. »
Les résultats surviennent moins d’une semaine après que Microsoft a détaillé une combinaison similaire d’un hameçonnage AitM et d’une attaque BEC visant les organisations de services bancaires et financiers.
Escroqueries BEC impliquent généralement inciter une cible par e-mail à envoyer de l’argent ou à divulguer des informations confidentielles sur l’entreprise. Outre la personnalisation des e-mails destinés à la victime visée, l’attaquant peut également se faire passer pour une personne de confiance pour atteindre ses objectifs.
Ceci, à son tour, peut être réalisé en prenant le contrôle du compte par le biais d’un système d’ingénierie sociale élaboré, à la suite duquel l’escroc envoie par e-mail aux clients ou fournisseurs de l’entreprise de fausses factures demandant le paiement sur un compte bancaire frauduleux.
Dans la chaîne d’attaque documentée par Sygnia, l’attaquant a été observé en train d’envoyer un e-mail de phishing contenant un lien vers un prétendu « document partagé » qui a finalement redirigé la victime vers une page de phishing AitM conçue pour récolter les informations d’identification saisies et les mots de passe à usage unique.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
De plus, les acteurs de la menace auraient abusé de l’accès temporaire au compte compromis pour enregistrer un nouveau dispositif d’authentification multifacteur (MFA) afin de s’implanter à distance à partir d’une adresse IP différente située en Australie.
« En plus de l’exfiltration de données sensibles du compte de la victime, l’acteur de la menace a utilisé cet accès pour envoyer de nouveaux e-mails de phishing contenant le nouveau lien malveillant à des dizaines d’employés du client ainsi qu’à d’autres organisations ciblées », ont déclaré les chercheurs de Sygnia.
La société israélienne de cybersécurité a en outre déclaré que les e-mails de phishing se propageaient « à la manière d’un ver » d’une entreprise ciblée à l’autre et parmi les employés d’une même entreprise. L’ampleur exacte de la campagne est actuellement inconnue.