Threat Landscape #11
Menaces sectorielles
Individus et groupes
Menaces sectorielles
Escroquerie
Les fausses affirmations de violation de données : un rappel à la prudence pour les médias
Mogilevich, se présentant comme un opérateur de Ransomware-as-a-Service (RaaS) relativement nouveau, a révélé à cyberdaily.au être en réalité une opération d’escroquerie élaborée. En effet, l’opérateur a prétendu avoir compromis de nombreuses organisations, y compris Epic Games, le Département des affaires étrangères de l’Irlande et Infinity USA. Dans le cas d’Epic Games, les opérateurs du soi-disant ransomware ont prétendu divulguer des données volées de l’entreprise de jeux vidéo qu’ils ne détenaient pas. Cependant, Epic Games a rapidement identifié la supercherie, affirmant n’avoir aucune preuve d’une telle compromission.
Cette révélation faite par Mogilevich met en lumière sa stratégie de manipulation pour arnaquer ses « clients ». Dans son communiqué, Mogilevich admet notamment avoir vendu huit accès à un panneau d'administration du RaaS qui n'a jamais existé. Grâce à la manipulation, il a réussi à extorquer des sommes d’argent supplémentaires des acteurs ayant acheté ces accès. Des captures d’écran de portefeuilles de cryptomonnaies de potentiels acheteurs ont aussi été utilisées pour renforcer la crédibilité et les moyens à disposition de Mogilevich auprès d’autres acheteurs. En outre, Mogilevich s’est aussi fait passer pour un acheteur de renom auprès d’Initial Access Brokers (IAB) afin d’obtenir des évidences des accès obtenus, telles que des photos et des vidéos.
Grâce aux stratégies employées, l’acteur mentionne avoir réussi à escroquer un acheteur de 85 000 dollars en prétendant avoir infiltré le réseau du fabricant de drones DJI. En définitive, il apparaît que les intentions de Mogilevich ne visent pas à compromettre des entreprises, mais plutôt à escroquer des attaquants intéressés par des données volées.
L’œil d’Intrinsec
Les fausses affirmations de compromissions de données revendiquées par les fraudeurs, comme l’acteur derrière le compte nommé « Mogilevich » sur le Dark Web, soulignent l’importance de vérifier la crédibilité des informations avant de les rapporter. Les entités médiatiques ayant rapporté ces fausses violations de données, en nommant les victimes présumées et le potentiel impact causé par l’attaquant, ont involontairement contribué de façon néfaste à la réputation des victimes. De plus, même si Mogilevich bluffe et ne possède aucune donnée, ses allégations obligent les entreprises ciblées à se remettre en question, vérifier les informations données et s’assurer de la protection de leurs infrastructures. Des experts chez CATO Networks ont d’ailleurs affirmé en février dernier que les fausses violations de données sont préoccupantes, puisqu’elles peuvent servir à distraire, tester les équipes de réponse à incident d’une entreprise ou manipuler le marché. De l’autre côté, pour le principal concerné, l’objectif était d’appâter des acteurs malveillants avec des données alléchantes d’entreprises renommées afin de les escroquer et réaliser des gains financiers importants dans un temps limité.
Afin de rendre les fausses affirmations de compromissions de données de plus en plus réelles, les attaquants peuvent également utiliser des moyens sophistiqués comme l’intelligence artificielle pour générer des données plus crédibles. C’est la situation dans laquelle s’est retrouvée Europcar en janvier de cette année. TechCrunch a rapporté qu’un utilisateur sur un forum cybercriminel avait prétendu avoir volé les informations personnelles de plus de 48 millions de clients d’Europcar. Un incident qu’Europcar s’est empressé d’investiguer. Un représentant de l’entreprise a par la suite confirmé à TechCrunch mais aussi BleepingComputer que les données avaient probablement été générées avec l’aide de ChatGPT.
Individus et groupes
TA4903
Recommandé par LinkedIn
TA4903 : Usurpation du gouvernement américain et d’entreprises privées dans des tentatives de phishing et de compromission d’email d’entreprise
Proofpoint a alerté sur les différentes attaques de type Business Email Compromise (BEC) menées par TA4903, acteur qui diversifie ses campagnes de phishing depuis 2019, à des fins financières. En effet, TA4903 usurpe l’identité de diverses entités du gouvernement américain et d’entreprises privées afin de voler des identifiants appartenant à des entreprises des secteurs de la construction, de la finance, de la santé et de l’alimentation. Sa cible principale serait les États-Unis, bien que d’autres cibles internationales aient été observées lors de campagnes de phishing massives.
Son objectif est de voler les informations d’identification des entreprises, d’infiltrer les boîtes mail et de mener des activités de Business Email Compromise (BEC). À ce stade, plusieurs campagnes notables ont été relevées. Dès 2021, une campagne de phishing usurpant l’identité du U.S. Department of Labor a été observée, puis le U.S. Departments of Housing and Urban Development, Transportation, and Commerce en 2022, et le U.S. Department of Agriculture en 2023. Plus récemment encore, l’activité cybercriminelle de TA4903 s’est intensifiée et son volume a augmenté. TA4903 utilise par exemple pour menace des courriels prétendant que l’organisation expéditrice a été victime d’un incident informatique afin d’inciter les victimes à fournir des informations bancaires et de paiement.
Les tactiques, techniques et procédures (TTPs) de TA4903 sont multiples, avec pour point commun la transmission par email de plusieurs vecteurs de phishing : des URLs ou des pièces jointes menant à des sites de phishing, des pièces jointes html zippées ou non, des fichiers PDF pouvant comprendre la mention « confidentiel » avec des liens intégrés, ou encore des QR Code menant à des sites web usurpant l’identité visuelle du gouvernement fédéral américain. S’agissant des contenus html des pièces jointes zippées, certains contenaient des URLs pointant vers un faux site web de la page de connexion de Microsoft O365, afin de récupérer des noms d’utilisateur et des mots de passe. Enfin, TA4903 a été observé en train d’utiliser l’outil de contournement MFA EvilProxy. Il semble que son utilisation ait diminué jusqu'à disparaître en 2024.
L’œil d’Intrinsec
Intrinsec recommande l’utilisation d’un Multi-Factor Authentification (MFA), en particulier sur les systèmes et applications critiques comme Office 365. La mise en place d’un MFA réduit de façon significative le risque d’accès non autorisé, même si les identifiants et mots de passe sont compromis à la suite d’une attaque de phishing. De la même façon, l’utilisation de solutions de filtrage de mails capables de détecter et bloquer les tentatives de phishing et d’identifier les pièces jointes malveillantes, ou encore la surveillance de domaines potentiellement frauduleux pouvant usurper des marques sont à privilégier. Enfin, sensibiliser les collaborateurs au risque de phishing et les former à reconnaître les diverses techniques employées par les attaquants.
Midnight Blizzard
Microsoft confirme le vol de code source par des attaquants russes
Dans un article publié le 8 mars, Microsoft apporte des éléments supplémentaires à leur article du 19 janvier 2024 portant sur une attaque du mode opératoire Midnight Blizzard contre leur société. Ainsi, l’entreprise rapporte que leurs investigations ont permis de découvrir des éléments indiquant que Midnight Blizzard utiliserait des informations exfiltrées de leurs systèmes de message d’entreprise pour obtenir ou tenter d’obtenir des accès non autorisés. Cela inclut notamment l’accès à certains répertoires de codes sources et systèmes internes de l’entreprise.
Microsoft pense que Midnight Blizzard tente d’utiliser des secrets, dont certains auraient été partagés entre des clients et Microsoft par courrier électronique. Les attaquants ont multiplié par dix le volume de certains aspects de leurs attaques, comme la pulvérisation de mots de passe en février 2024, par rapport au volume déjà important constaté en janvier 2024.
L’attaque continue de Midnight Blizzard se caractérise par un engagement soutenu et important des ressources, de la coordination et de la concentration de la part de l’acteur. Microsoft pense que le mode opératoire pourrait utiliser les informations qu’il obtient afin de dresser un tableau des zones à attaquer et améliorer sa capacité à le faire.
L’œil d’Intrinsec
Dans notre Threat Landscape du 1er février 2024, nous évoquions les premiers retours de Microsoft sur l’opération menée par Midnight Blizzard à leur encontre. À ce stade, l’étendue de l’attaque réalisée par le mode opératoire n’était pas connue ou communiquée par Microsoft, mais nous avions alors émis l’hypothèse que ces éléments pouvaient être indicatifs d’un prépositionnement par Midnight Blizzard en vue de réaliser une attaque plus conséquente.
Ce mode opératoire, qui se recoupe dans la littérature avec ceux connus sous les appellations APT29, Cozy Bear ou BlueBravo, est attribué au Service des renseignements extérieurs de la Fédération de Russie (SVR) par les renseignements américains et britanniques. Très sophistiqué et adaptant ses TTPs à ses cibles, le mode opératoire a régulièrement ciblé les environnements Microsoft Office 365. Connu pour certaines compromissions importantes comme l’attaque contre le Comité National Démocrate en 2016, l’attaque contre SolarWinds en décembre 2020, et une campagne d’attaques contre les ambassades et consulats européens en 2022, Midnight Blizzard est également connu pour cibler des secteurs et organisations s’alignant avec les intérêts géopolitiques de la Russie : diplomatie, défense, technologie et télécommunications.
Récemment, une alerte publiée par le NCSC, la NSA, la CISA et le FBI indique qu’APT29 ciblerait de plus en plus les services cloud en accès initial, grâce à des techniques de brute force et de password spraying (technique utilisée contre Microsoft lors de la compromission évoquée dans cet article). Au-delà de capacités d’espionnage et de vol d’informations, Midnight Blizzard peut également utiliser les accès obtenus afin de déployer des malwares customisés comme e GraphicalProton.
Plus d’informations ici.
Cette newsletter est émise par notre cellule de Threat Intelligence : le service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d'informations, des activités de fraude et une vue pertinente quant à leur exposition sur l'ensemble des couches Internet (du Surface au Dark Web). Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s'orienter vers des besoins spécifiques.