Le groupe CyberSpionage utilise des informations d’identification compromises pour voler des e-mails et des données auprès des organisations du secteur public et privé dans un large éventail d’industries.
Un nouveau groupe de cyberespionnage lié au gouvernement russe cible les organisations de divers secteurs depuis plus d’un an. Surnommé Void Blizzard par Microsoft Threat Intelligence et Baundry Bear par Dutch Intelligence Services, le groupe exploite des informations d’identification compromises pour accéder aux boîtes aux lettres et voler de grandes quantités d’e-mails et de données des réseaux internes.
« Alors que Void Blizzard a une portée mondiale, leur activité de cyberespionnage cible de manière disproportionnée les États membres de l’OTAN et l’Ukraine, indiquant que l’acteur recueille probablement des renseignements pour aider à soutenir les objectifs stratégiques russes », a écrit les chercheurs de Microsoft Meney Intelligence dans un rapport sur leurs observations du groupe. «En particulier, l’activité prolifique de l’acteur de menace contre les réseaux dans les secteurs critiques présente un risque accru pour les États membres de l’OTAN et les alliés à l’Ukraine en général.»
Les secteurs ciblés par ce groupe comprennent les communications, les télécommunications, la défense, les soins de santé, l’éducation, les agences et services gouvernementaux, les technologies de l’information, les organisations intergouvernementales, les médias, les ONG et les transports.
Microsoft a collaboré avec le Service General Intelligence and Security (AIVD) des Pays-Bas et le Service des Netherlands Defence Intelligence and Security (MIVD), qui a publié un avis distinct sur le groupe. Les services néerlandais ont enquêté sur Void Blizzard après avoir réussi à compromettre la police néerlandaise en septembre 2024.
Les cibles du groupe se chevauchent avec d’autres groupes de cyberespionnage russes connues, notamment APT28 AKA Fancy Bear, APT29 AKA COZY Bear et Turla AKA Venomous Bear, que Microsoft appelle respectivement Forest Blizzard, Midnight Blizzard et Secret Blizzard. Par rapport à ces groupes, cependant, Void Blizzard semble utiliser des techniques moins sophistiquées pour obtenir un accès initial.
Pulvérisation de mot de passe et vidages de données d’infostaler
Jusqu’au mois dernier, Void Blizzard s’est appuyé principalement sur la pulvérisation de mot de passe, une technique qui implique des attaques de mot de passe brute à force à l’aide de listes de mots de passe communs ou divulgués à partir d’autres violations de données. Le groupe a également acheté des mots de passe, ainsi que des cookies de session, à partir des marchés cybercriminaux souterrains, en particulier les journaux dits obtenus auprès des logiciels malveillants infoséaler – une menace croissante récemment.
Le groupe utilise ces informations d’identification pour accéder à Microsoft Exchange et parfois des serveurs en ligne SharePoint. Lors de l’attaque contre la police néerlandaise, le groupe a compromis le récit d’un employé de la police en utilisant un cookie de session volé par une infection d’infostecteur.
Les cookies de session sont des fichiers texte avec des valeurs uniques définies par des sites Web à l’intérieur des navigateurs pour se souvenir des sessions utilisateur authentifiées pendant une longue période. Les attaquants peuvent voler ces fichiers à des ordinateurs et les mettre à l’intérieur de leurs propres navigateurs dans des attaques appelées Pass-the-Cookie qui leur donnent accès à ces comptes sans se connecter avec un mot de passe.
« Après avoir été authentifiée avec succès et obtenu l’accès à un compte, les ours de blanchisserie approchent les victimes par le biais de Microsoft Exchange Web Services (EWS) et Outlook Web Access (OWA) pour tenter de gérer certaines actions sur les réseaux de victimes », ont écrit les services de renseignement néerlandais dans un conseil conjoint. «Les services néerlandais considèrent que très probable que les blanchisseries essaie d’abord de télécharger la GAL (liste des adresses globales). Les informations de la fille sont ensuite utilisées pour la pulvérisation de mot de passe d’attaques pour accéder à d’autres comptes. L’enquête a révélé que l’acteur de menace est spécifiquement intéressé par les comptes de messagerie qui gèrent d’autres comptes (accès délégué).»
Le groupe ne semble pas avoir son propre programme de logiciels malveillants personnalisés et s’appuie plutôt sur les tactiques de vie (LOTL), qui impliquent l’utilisation d’outils et de cadres administratifs qui existent déjà sur des ordinateurs compromis pour atteindre leurs objectifs.
Alors que certaines des attaques du groupe semblent opportunistes, ciblant un large éventail d’organisations du secteur public et privé, l’accent est clairement mis sur les entités pertinentes aux efforts de guerre de la Russie en Ukraine. Cela comprend les ministères de la Défense des pays membres de l’OTAN, leurs ambassadeurs et ministères des affaires étrangères, leurs forces armées et leurs entrepreneurs de défense.
Passer à la lance du phishing
Au cours des derniers mois, le groupe semble avoir pivoté de la pulvérisation de mot de passe aux attaques de phishing de lance ciblées qui dirigent les utilisateurs vers des pages de connexion Microsoft Entra en utilisant des techniques d’adversaire dans le milieu (AITM). Une telle campagne a conduit au compromis de 20 ONG en avril.
Dans sa campagne contre les ONG, Void Blizzard a envoyé des e-mails se faisant passer pour des invitations officielles au sommet européen de la défense et de la sécurité qui aura lieu le mois prochain à Bruxelles. Les e-mails contenaient une pièce jointe PDF conçue pour ressembler à une invitation avec un code QR qui a dirigé les victimes vers un nom de domaine typosquatté appelé micsrosoftonline(.)com.
« Nous évaluons que Void Blizzard utilise le cadre d’attaque open source Evilginx pour mener la campagne de phishing AITM et voler des données d’authentification, y compris le nom d’utilisateur et le mot de passe d’entrée et tous les cookies générés par le serveur », a écrit Microsoft Researchers dans leur rapport. « Evilginx, publié publiquement en 2017, a été le premier kit de phishing largement disponible avec les capacités AITM. »
Après un accès réussi, les pirates exploitent des API Cloud Microsoft légitimes telles que celles de Exchange Online et Microsoft Graph pour énumérer les boîtes aux lettres d’utilisateurs et les fichiers hébergés par le cloud. Les attaquants téléchargeront tous les fichiers et dossiers partagés auxquels ils ont accès et ont également accédé à Microsoft Teams Conversations and Messages via l’application Web Teams.
L’outil Azurehound Open-source a également été utilisé pour collecter des informations sur la configuration de l’ID Microsoft ENTRA de la victime, y compris des informations sur les utilisateurs, les rôles, les groupes, les applications et les appareils appartenant à un locataire ENTRA.
Atténuation
Microsoft a publié plusieurs requêtes de chasse aux menaces pour Microsoft XDR et Azure Sentinel. Cependant, la société conseille également d’utiliser les politiques d’accès conditionnelles pour mettre en œuvre des détections de risque de connexion qui peuvent déclencher des blocs d’accès automatiques ou des demandes d’authentification multi-facteurs.
«Tirez parti des méthodes d’authentification résistantes au phishing telles que Fido Tokens ou Microsoft Authenticator avec Passkey», a conseillé la société. «Évitez les méthodes de MFA basées sur la téléphonie pour éviter les risques associés à la coteillerie.»
La centralisation de la gestion de l’identité dans une seule plate-forme pour les environnements cloud et sur site et enregistrer les données à un SIEM peut aider les organisations à analyser et à détecter une activité suspecte. La mise en œuvre de l’hygiène des informations d’identification appropriée et les principes des moindres privilèges sont également très importants.
