Désactivation des licences

Microsoft 365 utilise une variété de modèles de licence pour contrôler l’accès d’un utilisateur individuel aux services de la suite de produits Microsoft 365. Les licences peuvent également dicter les paramètres de sécurité et de conformité, tels que la conservation des journaux et la journalisation des éléments de messagerie consultés dans Purview Audit. Les licences les plus courantes sont E1, E3 et E5 ; cependant, il existe une variété d’autres plans de licence et de modules complémentaires granulaires qui rendent l’octroi de licences dans M365 complexe.

Pour un hacker, l’une des fonctions de journalisation les plus gênantes est Purview Audit, anciennement Advanced Audit. Cette fonction, disponible avec les licences E5 et certains modules complémentaires, permet l’audit des éléments de messagerie consultés. Mail Items Accessed enregistre la chaîne de l’agent utilisateur, l’horodatage, l’adresse IP et l’utilisateur chaque fois qu’un élément d’e-mail est consulté. L’audit enregistre tout type d’accès au courrier, que ce soit par l’API graphique, Outlook, un navigateur ou une autre méthode. Il s’agit d’une source d’enregistrement essentielle pour déterminer si un hacker accède à une boîte aux lettres particulière, ainsi que pour déterminer l’étendue de l’exposition. En outre, c’est le seul moyen de déterminer efficacement l’accès à une boîte aux lettres particulière lorsque le pirate utilise des techniques comme l’usurpation d’identité d’application ou l’API graphique.

Mandiant a observé APT29 désactiver Purview Audit sur des comptes ciblés dans un espace compromis. Une fois désactivé, ils commencent à cibler la boîte de réception pour la collecte d’e-mails. À ce stade, l’organisation ne dispose d’aucune journalisation permettant de confirmer quels comptes le hacker a ciblés pour la collecte d’e-mails et à quel moment. Compte tenu du ciblage et des TTP de APT29, Mandiant pense que la collecte d’e-mails est l’activité la plus probable après la désactivation de Purview Audit.

Prise de contrôle MFA de comptes inactifs

L’authentification multi-facteurs (MFA) est un outil crucial que les organisations peuvent déployer pour contrecarrer les attaques de prise de contrôle de comptes par des pirates informatiques. En demandant aux utilisateurs de fournir à la fois quelque chose qu’ils savent et quelque chose qu’ils ont, les organisations peuvent réduire considérablement le risque de compromission des comptes. Cependant, le MFA en soi n’est pas une solution miracle. Mandiant a déjà expliqué comment les acteurs de la menace abusent de l’authentification automatique pour spammer les utilisateurs avec des notifications jusqu’à ce qu’ils finissent par accepter l’invitation et autoriser l’accès au hacker. Microsoft a récemment annoncé le déploiement des notifications push MFA avec correspondance de numéro pour lutter contre ce phénomène.

Mandiant a commencé à observer une autre tendance où les pirates, y compris APT29, profitent du processus d’auto-inscription pour MFA dans Azure Active Directory et d’autres plateformes. Lorsqu’une organisation applique pour la première fois le MFA, la plupart des plateformes permettent aux utilisateurs d’inscrire leur premier dispositif MFA lors de la prochaine connexion. C’est souvent le processus choisi par les organisations pour déployer le MFA. Dans la configuration par défaut d’Azure AD et d’autres plateformes, il n’y a pas d’application supplémentaire sur le processus d’inscription MFA. En d’autres termes, toute personne connaissant le nom d’utilisateur et le mot de passe peut accéder au compte depuis n’importe quel endroit et n’importe quel appareil pour s’inscrire au MFA, à condition d’être la première personne à le faire.

Dans un cas, APT29 a mené une attaque par « password Guessing » contre une liste de boîtes aux lettres qu’il avait obtenue par des moyens inconnus. Le hacker a réussi à deviner le mot de passe d’un compte qui avait été configuré, mais jamais utilisé. Comme le compte était inactif, Azure AD a demandé à APT29 de s’inscrire en MFA. Une fois inscrit, APT29 a pu utiliser le compte pour accéder à l’infrastructure VPN de l’organisation qui utilisait Azure AD pour l’authentification et le MFA. Mandiant recommande aux organisations de s’assurer que tous les comptes actifs ont au moins un dispositif MFA inscrit et de travailler avec leur fournisseur de plateforme pour ajouter des vérifications supplémentaires au processus d’inscription MFA. Microsoft Azure AD a récemment mis en place une fonctionnalité permettant aux organisations d’appliquer des contrôles autour d’actions spécifiques telles que l’inscription d’un dispositif MFA. Grâce à l’accès conditionnel, les organisations peuvent restreindre l’inscription des dispositifs MFA aux seuls emplacements de confiance, comme le réseau interne, ou aux dispositifs de confiance. Les organisations peuvent également choisir d’exiger l’inscription de dispositifs MFA. Pour éviter la situation de la poule et de l’œuf que cela crée, les employés du service d’assistance peuvent délivrer des laissez-passer temporaires aux employés lors de leur première inscription ou s’ils perdent leur dispositif MFA. Ce laissez-passer peut être utilisé pendant une durée limitée pour se connecter, contourner le MFA et enregistrer un nouveau dispositif MFA.

Priorité à la sécurité opérationnelle

APT29 continue de faire preuve d’une sécurité opérationnelle et de tactiques d’évasion exceptionnelles. En plus de l’utilisation de proxys résidentiels pour masquer leur accès au dernier kilomètre des environnements des victimes, Mandiant a observé qu’ APT29 se tourne vers les machines virtuelles Azure. Les machines virtuelles utilisées par APT29 existent dans des abonnements Azure en dehors de l’organisation victime. Mandiant ne sait pas si ces abonnements ont été compromis ou achetés par APT29. Le fait que leur accès provienne d’adresses IP Microsoft fiables réduit la probabilité de détection. Étant donné que Microsoft 365 fonctionne sur Azure, les journaux d’ouverture de session Azure AD et d’audit unifié contiennent déjà de nombreuses adresses IP Microsoft et il peut être difficile de déterminer rapidement si une adresse IP appartient à une activité malveillante ou à un service M365 dorsal. D’après les observations de Mandiant, il semble également que les adresses IP appartenant à Microsoft réduisent considérablement le risque de détection par les rapports de Microsoft sur les ouvertures de session et les utilisateurs à risque.

Mandiant a également observé qu’ APT29 mélange des actions administratives bénignes avec ses actions malveillantes. Par exemple, lors d’une enquête récente, APT29 a obtenu l’accès à un compte d’administrateur global dans Azure AD. Il a utilisé ce compte pour ouvrir un backdoor sur un principal de service avec des droits Application Impersonation et commencer à collecter les e-mails de boîtes aux lettres ciblées. Pour ce faire, APT29 a ajouté un nouveau certificat, ou Key Credential, au principal du service. Une fois ajouté, APT29 a pu s’authentifier sur Azure AD en tant que principal de service et utiliser ses rôles pour collecter les e-mails. Pour se fondre dans la masse, APT29 a créé le certificat avec un nom commun (CN) qui correspond au nom d’affichage du principal de service rétabli. En plus de cela, ils ont également ajouté une nouvelle adresse URL d’application. L’adresse ajoutée était totalement bénigne, n’était pas nécessaire pour faciliter leurs activités malveillantes et était liée à la fonctionnalité de l’application telle que documentée par le fournisseur. Cette action démontre le niveau de préparation extrêmement élevé de APT29 et la mesure dans laquelle ils essaient de faire passer leurs actions pour légitimes.

Outlook

APT29 continue de développer son savoir-faire technique et son attachement à une sécurité opérationnelle stricte. Mandiant s’attend à ce qu’ APT29 continue à développer des techniques et des tactiques pour accéder à Microsoft 365 de manière originale et furtive.