Microsoft a déclaré lundi avoir détecté une activité d’un État-nation soutenu par le Kremlin exploitant une faille de sécurité critique désormais corrigée dans son service de messagerie Outlook pour obtenir un accès non autorisé aux comptes des victimes sur les serveurs Exchange.
Le géant de la technologie attribué les intrusions contre un acteur menaçant qu’il a appelé Blizzard forestier (anciennement Strontium), qui est également largement suivi sous les surnoms APT28, BlueDelta, Fancy Bear, FROZENLAKE, Iron Twilight, Sednit, Sofacy et TA422.
La vulnérabilité de sécurité en question est CVE-2023-23397 (score CVSS : 9,8), un bug d’élévation de privilèges critique qui pourrait permettre à un adversaire d’accéder au hachage Net-NTLMv2 d’un utilisateur qui pourrait ensuite être utilisé pour mener une attaque par relais contre un autre service pour s’authentifier en tant qu’utilisateur. Il a été corrigé par Microsoft en mars 2023.
L’objectif, selon le Cyber Command polonais (DKWOC), est d’obtenir un accès non autorisé aux boîtes aux lettres appartenant à des entités publiques et privées du pays.
Apprenez à détecter les menaces internes avec les stratégies de réponse des applications
Découvrez comment la détection des applications, la réponse et la modélisation automatisée du comportement peuvent révolutionner votre défense contre les menaces internes.
« Lors de l’étape suivante de l’activité malveillante, l’adversaire modifie les autorisations des dossiers dans la boîte aux lettres de la victime », DKWOC dit. « Dans la plupart des cas, les modifications consistent à modifier les autorisations par défaut du groupe « Par défaut » (tous les utilisateurs authentifiés dans l’organisation Exchange) de « Aucun » à « Propriétaire ».
Ce faisant, le contenu des dossiers de boîtes aux lettres bénéficiant de cette autorisation peut être lu par toute personne authentifiée au sein de l’organisation, permettant ainsi à l’acteur malveillant d’extraire des informations précieuses sur des cibles de grande valeur.
« Il convient de souligner que l’introduction de telles modifications permet de maintenir un accès non autorisé au contenu de la boîte aux lettres même après avoir perdu l’accès direct à celle-ci », a ajouté DKWOC.
Microsoft a précédemment révélé que les failles de sécurité avaient été exploitées par des acteurs menaçants basés en Russie comme un jour zéro dans des attaques ciblant les secteurs du gouvernement, des transports, de l’énergie et de l’armée en Europe depuis avril 2022.
Par la suite, en juin 2023, la société de cybersécurité Recorded Future a révélé les détails d’une campagne de spear phishing orchestrée par APT28 exploitant plusieurs vulnérabilités du logiciel de messagerie Web open source Roundcube, tout en notant que la campagne chevauche une activité utilisant la vulnérabilité de Microsoft Outlook.
L’Agence nationale de la cybersécurité (ANSSI), fin octobre, a également blâmé la société de piratage visant les entités gouvernementales, les entreprises, les universités, les instituts de recherche et les groupes de réflexion depuis le second semestre 2021 en profitant de diverses failles, dont CVE-2023-23397, pour déployer implants comme CredoMap.
Le groupe parrainé par l’État serait lié à l’unité 26165 de la Direction principale de l’état-major général des forces armées de la Fédération de Russie (GRU), le service de renseignement étranger du Ministère de la Défense.
Ces derniers mois, il a également été lié à des attaques contre diverses organisations en France et en Ukraine ainsi qu’à l’abus de la faille WinRAR (CVE-2023-38831) pour voler les données de connexion du navigateur à l’aide d’un script PowerShell nommé IRONJAW.
La société de cybersécurité Proofpoint, dans un analyse indépendantea déclaré avoir observé des campagnes de phishing à haut volume fin mars et septembre 2023 qui exploitaient respectivement CVE-2023-23397 et CVE-2023-38831 vers des cibles en Europe et en Amérique du Nord.
« Leurs actions indiquent qu’ils cherchent à découvrir des réseaux facilement exploitables qui présentent un intérêt stratégique pour l’adversaire ; cependant, il n’est pas clair si la quantité d’e-mails – plus de 10 000 au total depuis août 2023 – a été une décision tactique ou une erreur de l’opérateur », Greg Lesnewich, chercheur principal en menaces chez Proofpoint, a déclaré à The Hacker News.
« Quoi qu’il en soit, les charges utiles, les tactiques et les techniques utilisées dans ces campagnes reflètent l’évolution ultime de TA422, passant des logiciels malveillants compilés pour un accès persistant sur des réseaux ciblés à un accès plus léger et axé sur les informations d’identification.
« Forest Blizzard affine continuellement son empreinte en employant de nouvelles techniques personnalisées et de nouveaux logiciels malveillants, ce qui suggère qu’il s’agit d’un groupe bien doté en ressources et bien formé qui pose des défis à long terme en matière d’attribution et de suivi de ses activités », a déclaré Microsoft.
La popularité de Microsoft Outlook dans les environnements d’entreprise constitue un vecteur d’attaque lucratif, ce qui en fait « l’une des « passerelles » critiques responsables de l’introduction de diverses cybermenaces dans les organisations », selon Check Point, qui a exposé les différents moyens par lequel le service pourrait être abusé par de mauvais acteurs pour livrer leurs exploits.
Le développement intervient alors que The Guardian signalé que le site de déchets nucléaires de Sellafield au Royaume-Uni avait été piraté par des équipes de pirates informatiques associées à la Russie et à la Chine pour déployer des « logiciels malveillants dormants » dès 2015. Cependant, le gouvernement britannique dit il n’a trouvé aucune preuve suggérant que ses réseaux avaient été « attaqués avec succès par des acteurs étatiques ».
(L’histoire a été mise à jour après la publication pour inclure des détails supplémentaires sur la campagne de Proofpoint.)