Une tactique d’ingénierie sociale observée depuis plusieurs années a été observée une fois de plus, exploitant les employés en les bombardant de spams puis en se faisant passer pour un support technique sur Teams.
Des attaquants soupçonnés d’être affiliés à des groupes de ransomwares ont récemment été observés en train d’utiliser une technique dans laquelle ils bombardent les employés de spams, puis les appellent sur Microsoft Teams en se faisant passer pour des représentants du support technique de leur organisation.
L’objectif de cette tactique d’ingénierie sociale jusqu’alors découverte est de créer un sentiment d’urgence et d’inciter les employés à leur accorder un accès à distance à leurs ordinateurs de travail. Les intervenants du fournisseur de sécurité Sophos ont déclaré dans un rapport qu’ils avaient détecté deux groupes différents se livrant à de telles campagnes d’attaque depuis novembre, suivant plus ou moins le même manuel.
« Sophos suit ces menaces sous les noms STAC5143 et STAC5777 », a indiqué la société. « Les deux acteurs de la menace exploitaient leurs propres services Microsoft Office 365 dans le cadre de leurs attaques et profitaient d’une configuration par défaut de Microsoft Teams qui permet aux utilisateurs de domaines externes d’initier des discussions ou des réunions avec des utilisateurs internes.
La société note que STAC5777 chevauche un groupe que Microsoft suit sous le nom de Storm-1811 et est engagé dans des attaques similaires de phishing vocal (vishing) basées sur Teams depuis mai 2024. À l’époque, le groupe a été observé en train de distribuer le ransomware Black Basta, qui C’est également le cas des nouvelles attaques constatées par Sophos.
Pendant ce temps, STAC5143 utilise des charges utiles de logiciels malveillants très similaires à celles précédemment associées à un groupe cybercriminel connu dans l’industrie sous le nom de FIN7 ou Carbon Spider. FIN7 existe depuis au moins 10 ans et a été impliqué dans de nombreux types d’attaques et a des liens avec de nombreuses opérations de ransomware, notamment REvil, Lockbit, Darkside et Black Basta.
L’attaque utilise une campagne de bombardement d’e-mails suivie d’un vishing
Dans les deux cas, les attaquants ont choisi comme cibles des employés d’organisations disposant d’abonnements Microsoft 365 pour s’assurer qu’ils utilisaient Microsoft Teams à des fins professionnelles. Afin de donner l’impression que quelque chose n’allait pas et de donner du crédit à leur tactique d’ingénierie sociale, les attaquants ont d’abord bombardé les employés ciblés avec des milliers de courriers indésirables en peu de temps.
Ils ont ensuite appelé ces employés par voix ou vidéo via Teams à partir de comptes externes configurés sur d’autres locataires Microsoft 365 contrôlés par des attaquants. Les attaquants se sont ensuite fait passer pour des membres de l’équipe informatique de l’organisation de l’employé et ont utilisé des comptes portant des noms tels que Help Desk Manager.
Un appel externe ne déclenche pas nécessairement des signaux d’alarme auprès des employés, en particulier dans les organisations qui font appel à des fournisseurs de services gérés (MSP) pour la gestion informatique, ont déclaré les chercheurs de Sophos.
Les attaquants STAC5143 ont demandé aux victimes d’autoriser une session de contrôle d’écran à distance via la fonction intégrée de Teams, puis ont exécuté des commandes shell et téléchargé des logiciels malveillants à partir d’un magasin de fichiers SharePoint externe.
Les attaquants STAC5777 ont emprunté une voie légèrement différente, en guidant les victimes vers l’installation de Microsoft Quick Assist, un outil Microsoft distinct basé sur le protocole de bureau à distance (RDP). Ils se sont ensuite connectés à l’aide de l’outil et ont utilisé un navigateur pour télécharger des charges utiles malveillantes à partir d’un sous-domaine de blob.core.windows.net, associé au service de stockage de fichiers Microsoft Azure.
Il convient de noter que dans les deux cas, les attaquants ont utilisé des domaines associés aux services Microsoft pour distribuer des fichiers malveillants, ce qui est moins susceptible de déclencher des alertes dans les produits de surveillance du réseau.
Les attaquants poursuivent en exploitant les portes dérobées et en déployant des ransomwares.
La première étape de la chaîne d’attaque STAC5143 impliquait un fichier d’archive Java (JAR) et une archive .zip contenant du code Python. Les attaquants ont exécuté le fichier JAR à partir de la ligne de commande avec une copie sans tête du moteur d’exécution Java qui s’exécuterait en arrière-plan et n’afficherait aucune sortie.
Le code Java a été conçu pour exécuter des commandes PowerShell qui téléchargeaient à leur tour le gestionnaire d’archives 7-Zip et une archive .7z. L’archive contenait une copie de l’exécutable ProtonVPN ainsi qu’une DLL malveillante que l’exécutable chargeait automatiquement lors de son exécution.
Le programme ProtonVPN a été utilisé pour établir des connexions VPN vers des serveurs en Russie, aux Pays-Bas et aux États-Unis. Pendant ce temps, le fichier JAR exécutait un deuxième fichier JAR qui à son tour décompressait le zip d’origine et exécutait les scripts Python à l’intérieur desquels étaient conçus pour agir comme des portes dérobées. Ces portes dérobées Python ont déjà été observées dans des attaques attribuées à FIN7.
De plus, les attaquants ont utilisé des commandes Windows intégrées pour déterminer le nom d’utilisateur de l’employé et les ressources réseau auxquelles il avait accès, puis ont effectué une découverte réseau supplémentaire.
La chaîne d’attaque STAC5777 était plus complexe, avec davantage de piratages et de commandes pratiques au clavier. Au cours de la première étape, l’attaquant a utilisé le navigateur pour télécharger deux fichiers .dat, qu’il a ensuite combinés dans une archive appelée pack.zip.
L’archive contenait plusieurs fichiers, dont un exécutable légitime appelé OneDriveStandaloneUpdater.exe, deux fichiers .dll du projet OpenSSL Toolkit, un winhttp.dll inconnu et un fichier appelé settingsbackup.dat. L’archive et les fichiers ont été décompressés dans un dossier appelé OneDriveUpdate sous le répertoire Windows AppData.
Un logiciel malveillant était capable de voler des informations sur le système et d’enregistrer les frappes au clavier.
Le fichier winhttp.dll était une porte dérobée qui était automatiquement chargée par l’exécutable OneDrive légitime. Le fichier était capable de collecter des informations sur le système, notamment les détails de configuration, le nom de l’utilisateur actuel et d’enregistrer les frappes au clavier. Les chercheurs pensent également qu’il s’agissait de décrypter le fichier settingsbackup.dat et de l’exécuter en tant que charge utile de deuxième étape, mais ils n’ont pas réussi à analyser ce fichier.
Les attaquants ont également mis en place la persistance en créant un service pour exécuter le programme de mise à jour OneDrive, puis ont utilisé les informations d’identification de la victime pour tenter d’accéder à d’autres systèmes, à la recherche d’un accès au domaine. Les techniques variaient d’une victime à l’autre. Dans un cas, ils ont utilisé les informations d’identification VPN de la victime pour établir une connexion à distance, puis ont tenté d’accéder à d’autres systèmes via RDP. Dans un autre, ils ont utilisé Windows Remote Management (WinRM) pour effectuer des mouvements latéraux.
Les attaquants ont également recherché des fichiers texte et Word contenant le mot de passe dans leur nom, inspecté les fichiers .rdp stockés localement pour les données de configuration et ont même accédé à un diagramme de réseau. Dans un cas confirmé par Sophos, les attaquants ont déployé le ransomware Black Basta.
Atténuer les attaques de spam et de vishing
Le rapport Sophos comprenait des indicateurs de compromission et des TTP qui peuvent être utilisés pour créer des règles de détection. Cependant, l’entreprise a conseillé aux organisations de former leurs utilisateurs à identifier et à éviter ces tactiques d’ingénierie sociale.
« Les employés doivent savoir qui est leur véritable équipe de support technique et être attentifs aux tactiques destinées à créer un sentiment d’urgence dont dépendent ces types d’attaques basées sur l’ingénierie sociale », ont déclaré les chercheurs.
De plus, les entreprises doivent restreindre les appels Teams provenant de l’extérieur de l’organisation dans leur abonnement Microsoft 365 ou les limiter à des partenaires de confiance. Les applications d’accès à distance qui ne sont pas utilisées par l’équipe de support informatique de l’organisation doivent être restreintes sur les ordinateurs des employés.
