Microsoft a déclaré jeudi que les acteurs de la menace parrainés par l’État russe et responsables d’une cyberattaque contre ses systèmes fin novembre 2023 ciblaient d’autres organisations et qu’il commençait actuellement à les informer.
Cette évolution intervient un jour après que Hewlett Packard Enterprise (HPE) a révélé avoir été victime d’une attaque perpétrée par une équipe de pirates informatiques identifiée comme APT29également connu sous les noms de BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard (anciennement Nobelium) et The Dukes.
« Cet acteur malveillant est connu pour cibler principalement les gouvernements, les entités diplomatiques, les organisations non gouvernementales (ONG) et les fournisseurs de services informatiques, principalement aux États-Unis et en Europe », a déclaré l’équipe Microsoft Threat Intelligence. dit dans un nouvel avis.
L’objectif principal de ces missions d’espionnage est de recueillir des informations sensibles présentant un intérêt stratégique pour la Russie en maintenant des positions pendant de longues périodes sans attirer l’attention.
Les dernières révélations indiquent que l’ampleur de la campagne pourrait avoir été plus grande qu’on ne le pensait auparavant. Le géant de la technologie n’a toutefois pas révélé quelles autres entités étaient pointées du doigt.
Les opérations d’APT29 impliquent l’utilisation de comptes légitimes mais compromis pour obtenir et étendre l’accès au sein d’un environnement cible et passer inaperçu. Il est également connu pour identifier et abuser des applications OAuth pour se déplacer latéralement à travers les infrastructures cloud et pour des activités post-compromises, telles que la collecte d’e-mails.
« Ils utilisent diverses méthodes d’accès initial allant du vol d’informations d’identification aux attaques de la chaîne d’approvisionnement, en passant par l’exploitation des environnements sur site pour migrer latéralement vers le cloud, et l’exploitation de la chaîne de confiance des fournisseurs de services pour accéder aux clients en aval », a noté Microsoft.
Une autre tactique notable consiste à utiliser des comptes d’utilisateurs piratés pour créer, modifier et accorder des autorisations élevées aux applications OAuth qu’elles peuvent utiliser à mauvais escient pour masquer des activités malveillantes. Cela permet aux acteurs malveillants de conserver l’accès aux applications, même s’ils perdent l’accès au compte initialement compromis, a souligné la société.
Ces applications OAuth malveillantes sont finalement utilisées pour s’authentifier auprès de Microsoft Exchange Online et cibler les comptes de messagerie d’entreprise Microsoft afin d’exfiltrer les données intéressantes.
Lors de l’incident ciblant Microsoft en novembre 2023, l’acteur malveillant a utilisé une attaque par pulvérisation de mot de passe pour réussir à infiltrer un ancien compte de locataire test hors production sur lequel l’authentification multifacteur (MFA) n’était pas activée.
De telles attaques sont lancées à partir d’une infrastructure proxy résidentielle distribuée pour dissimuler leurs origines, permettant ainsi à l’auteur de la menace d’interagir avec le locataire compromis et avec Exchange Online via un vaste réseau d’adresses IP également utilisées par des utilisateurs légitimes.
« L’utilisation par Midnight Blizzard de proxys résidentiels pour masquer les connexions rend la détection traditionnelle basée sur les indicateurs de compromission (IoC) impossible en raison du taux de changement élevé des adresses IP », a déclaré Redmond, ce qui nécessite que les organisations prennent des mesures pour se défendre contre les applications OAuth malveillantes et la pulvérisation de mots de passe. .