Des hackers russes exploitent les services Azure pour pirater des comptes Microsoft 365

Les chercheurs de la société de cybersécurité Mandiant ont découvert que le groupe de hackers soutenu par l’État russe APT29, également connu sous le nom de Cozy Bear ou Nobelium, cible activement les comptes Microsoft 365 aux États-Unis et dans les organisations affiliées à l’OTAN dans des campagnes d’espionnage pour voler des données sensibles.

Mandiant, qui suit APT29 depuis au moins 2014, a souligné que le groupe d’espionnage russe « utilise de nouvelles tactiques et cible agressivement Microsoft 365 dans des attaques qui démontrent une sécurité opérationnelle et une évasion exceptionnelles ».

La société a mis en avant certaines des nouvelles TTP avancées (tactiques, techniques et procédures) d’APT29 dans un rapport publié jeudi.

Pour un acteur de la menace, l’une des fonctionnalités de sécurité de journalisation les plus problématiques est Purview Audit, une fonctionnalité de sécurité de niveau supérieur dans la suite Microsoft 365. Cette fonctionnalité, disponible avec les licences E5 et certains modules complémentaires, permet l’audit des éléments de messagerie accessibles. Les éléments de messagerie accessibles enregistrent la chaîne de l’agent utilisateur, l’horodatage, l’adresse IP et l’utilisateur chaque fois qu’un élément de messagerie est accessible indépendamment du programme (Outlook, navigateur, Graph API).

Mandiant a observé qu’APT29 était capable de désactiver Purview Audit sur les comptes ciblés dans un locataire compromis afin de cibler la boîte de réception pour la collecte d’e-mails.

« Une fois désactivé, ils commencent à cibler la boîte de réception pour la collecte d’e-mails. À ce stade, il n’y a aucune journalisation disponible pour l’organisation pour confirmer quels comptes l’acteur de la menace a ciblés pour la collecte d’e-mails et quand. Étant donné le ciblage et les TTP d’APT29, Mandiant pense que la collecte d’e-mails est l’activité la plus probable après la désactivation de Purview Audit », indique le rapport publié par Mandiant.

« Nous avons mis à jour notre livre blanc sur les stratégies de remédiation et de durcissement pour Microsoft 365 pour inclure plus de détails sur cette technique ainsi que des conseils de détection et de remédiation. De plus, nous avons mis à jour l’Investigateur Azure AD avec un nouveau module pour signaler les utilisateurs avec l’audit avancé désactivé. »

Les chercheurs ont également découvert une autre nouvelle tactique avancée employée par APT29, qui profite du processus d’auto-inscription pour l’authentification multi-facteurs (MFA) dans Azure Active Directory (AD).

Cette méthode abuse de l’absence d’application stricte sur les nouvelles inscriptions MFA dans la configuration par défaut d’Azure AD, ce qui signifie que quiconque ayant connaissance du nom d’utilisateur et du mot de passe peut accéder au compte depuis n’importe quel emplacement et n’importe quel appareil pour s’inscrire à la MFA, tant qu’il est la première personne à le faire.

« Dans un cas, APT29 a mené une attaque par devinette de mot de passe contre une liste de boîtes aux lettres qu’ils avaient obtenue par des moyens inconnus. L’acteur de la menace a réussi à deviner le mot de passe d’un compte qui avait été configuré, mais jamais utilisé. Comme le compte était inactif, Azure AD a invité APT29 à s’inscrire à la MFA. Une fois inscrit, APT29 a pu utiliser le compte pour accéder à l’infrastructure VPN de l’organisation qui utilisait Azure AD pour l’authentification et la MFA », poursuit le rapport.

Enfin, Mandiant a observé APT29 utilisant des machines virtuelles Azure (VM). Les machines virtuelles utilisées par APT29 existent dans des abonnements Azure en dehors de l’organisation victime. Il n’est pas clair si le groupe d’acteurs de la menace a compromis ou acheté ces abonnements.

Le groupe a également été observé en train de mélanger des actions administratives bénignes avec leurs actions malveillantes pour confondre quiconque pourrait être sur sa trajectoire.

« Par exemple, lors d’une enquête récente, APT29 a eu accès à un compte d’administrateur global dans Azure AD. Ils ont utilisé le compte pour créer une porte dérobée dans un principal de service avec des droits d’ApplicationImpersonation et commencer à collecter des e-mails à partir de boîtes aux lettres ciblées dans le locataire », a ajouté le rapport.

Une fois ajouté, APT29 a pu s’authentifier auprès d’Azure AD en tant que Principal de Service et utiliser ses rôles pour collecter des e-mails. Pour se fondre, APT29 a créé le certificat avec un Nom Commun (CN) qui correspondait au nom d’affichage du principal de service piraté et a ajouté une nouvelle URL d’Adresse d’Application à celui-ci.

« APT29 continue de développer son savoir-faire technique et son engagement envers une sécurité opérationnelle stricte. Mandiant s’attend à ce qu’APT29 reste à jour avec le développement de techniques et de tactiques pour accéder à Microsoft 365 de manière nouvelle et furtive », conclut le rapport.