Phishing AiTM en plusieurs étapes et attaque BEC contre le secteur financier

Récemment, les experts Defender de Microsoft ont découvert une attaque sophistiquée de phishing et de compromission des e-mails professionnels (AiTM) en plusieurs étapes, qui ciblait les organisations de services bancaires et financiers. L’attaque, suivie sous le nom de Storm-1167, a été lancée par un fournisseur de confiance compromis et s’est transformée en une série d’attaques AiTM et d’activités BEC de suivi couvrant plusieurs organisations. L’objectif était la fraude financière, exploitant les relations de confiance entre les vendeurs, les fournisseurs et les organisations partenaires.

L’attaque de phishing et BEC AiTM en plusieurs étapes a commencé par un e-mail de phishing d’un fournisseur de confiance, qui contenait un code unique à sept chiffres comme objet. Le corps de l’e-mail comprenait un lien permettant d’afficher ou de télécharger un fax, ce qui a conduit à une URL malveillante hébergée sur Canva.com. Les attaquants ont intelligemment exploité le service légitime Canva pour la campagne de phishing, en l’utilisant pour héberger une page affichant un faux aperçu de document OneDrive et lié à une URL de phishing.

Une fois que les victimes ont cliqué sur l’URL, elles ont été redirigées vers une page de phishing hébergée sur la plate-forme cloud Tencent qui a usurpé une page de connexion Microsoft. Une fois que les victimes ont fourni leurs mots de passe, les attaquants ont lancé une session d’authentification avec les informations d’identification des victimes. Lorsqu’ils ont été invités à utiliser l’authentification multifacteur (MFA), les attaquants ont modifié la page de phishing en une page MFA falsifiée. Une fois que les victimes ont terminé la MFA, le jeton de session a été capturé par les attaquants.

Les attaquants ont ensuite utilisé le cookie de session volé pour se faire passer pour les victimes, en contournant les mécanismes d’authentification des mots de passe et de l’authentification MFA. Ils ont accédé aux conversations par e-mail et aux documents hébergés dans le cloud, et ont même généré un nouveau jeton d’accès, leur permettant de persister plus longtemps dans l’environnement. Les attaquants ont également ajouté une nouvelle méthode MFA pour les comptes des victimes, en utilisant un service de mot de passe à usage unique (OTP) basé sur le téléphone, pour se connecter sans être détecté.

Les assaillants ont alors lancé une attaque à grande échelle campagne de phishing impliquant plus de 16 000 e-mails avec une URL Canva légèrement modifiée. Les e-mails ont été envoyés aux contacts de l’utilisateur compromis, à l’intérieur et à l’extérieur de l’organisation, ainsi qu’aux listes de distribution. Les destinataires ont été identifiés sur la base des fils de discussion récents dans la boîte de réception de l’utilisateur compromis. L’objet des e-mails contenait un code unique à sept chiffres, peut-être une tactique de l’attaquant pour suivre les organisations et les chaînes d’e-mails.

Les destinataires des e-mails de phishing qui ont cliqué sur l’URL malveillante ont également été ciblés par une autre attaque AiTM. Les experts de Microsoft Defender ont identifié tous les utilisateurs compromis en fonction de l’adresse IP de destination et des modèles d’adresse IP de connexion. L’attaquant a été observé en train de lancer une autre campagne de phishing depuis la boîte aux lettres de l’un des utilisateurs compromis par la deuxième attaque AiTM.

Cet incident met en évidence la complexité des attaques AiTM et les défenses complètes qu’elles nécessitent. Cela souligne également l’importance d’une recherche proactive des menaces pour découvrir de nouvelles tactiques, techniques et procédures (TTP) sur des campagnes déjà connues afin de faire apparaître et de remédier à ces types de menaces. L’évolution continue de ces menaces, comme l’utilisation de proxy indirect dans cette campagne, illustre la nécessité pour les organisations de rester vigilantes et proactives dans leurs mesures de cybersécurité.