Microsoft Exchange et Outlook assiégés par les APT

Un nouveau rapport sur les menaces montre que les APT(Advanced Persistent Threat) changent de tactique lorsqu’ils exploitent des services Microsoft comme Exchange et OWA, afin d’éviter la détection.

De nouveaux adversaires sophistiqués changent de tactique en exploitant des plates-formes adaptées aux entreprises – notamment Microsoft Exchange, Outlook Web Access (OWA) et Outlook sur le Web – afin de dérober les informations d’identification commerciales et d’autres données sensibles.

Le serveur de messagerie et de calendrier Exchange de Microsoft et son application Web Outlook fournissent des services d’authentification – et d’intégration avec d’autres plates-formes – que les chercheurs considèrent comme les plus importants pour les attaquants qui veulent lancer des attaques.

microsoft outlook

Le rapport Cyber Threatscape 2020 d’Accenture, publié récemment, met en lumière la manière dont les individus malveillants exploitent Exchange et OWA – et font évoluer leurs tactiques pour développer de nouvelles familles de logiciels malveillants qui ciblent ces services, ou utilisent de nouvelles techniques de contournement de la détection.

«Les systèmes et services Web, riches en données, qui communiquent généralement en externe peuvent permettre aux adversaires de cacher plus facilement leur trafic en arrière-plan, tandis que les services d’authentification pourraient ouvrir une opportunité de collecte d’informations d’identification pour les cybercriminels», selon les chercheurs d’Accenture.

Les APT s’attaquent à Exchange, OWA

Un groupe de menace persistante avancée (APT) qui a ciblé Exchange et OWA se fait appelé «BELUGASTURGEON» (alias Turla ou Whitebear) par les chercheurs. Ces derniers affirment que ce groupe opère depuis la Russie, est actif depuis plus de 10 ans et est associé à de nombreuses cyberattaques visant des agences gouvernementales, des sociétés de recherche en politique étrangère et des groupes de réflexion à travers le monde.

Le groupe cible ces services Microsoft et les utilise pour masquer le trafic, relayer les commandes, compromettre les e-mails, exfiltrer les données et collecter les informations d’identification pour de futures attaques d’espionnage, ont déclaré des chercheurs. Par exemple, ils manipulent le trafic légitime qui traverse Exchange afin de relayer des commandes ou d’exfiltrer des données sensibles.

«Les hôtes utilisant Exchange et les services associés relaient fréquemment de gros volumes de données vers des sites externes, ce qui représente une excellente occasion pour les acteurs malveillants de cacher leur trafic dans ce bruit de fond», ont déclaré les chercheurs.

Un autre groupe, que les chercheurs appellent SOURFACE (alias APT39 ou Chafer), semble avoir développé des techniques similaires pour dissimuler le trafic malveillant, manipuler les pare-feu locaux et faire passer le trafic par proxy sur des ports non standard à l’aide de commandes, d’outils et de fonctions natives, selon les chercheurs. Les chercheurs ont déclaré que ce groupe était actif depuis au moins 2014 et est connu pour ses cyberattaques contre les industries du pétrole et du gaz, des communications, des transports et d’autres industries en Australie, en Europe, en Israël, en Arabie saoudite, aux États-Unis et dans d’autres régions.

Les groupes de menaces créent également de nouveaux logiciels malveillants conçus pour cibler spécifiquement Exchange et OWA. Les chercheurs ont déclaré avoir découvert plusieurs fichiers malveillants dans la nature en 2019, qui, selon eux, étaient associés à un groupe appelé BLACKSTURGEON, utilisé pour cibler les organisations gouvernementales et du secteur public.

Cela inclut un fichier qui ressemblait à une variante de la version personnalisée de l’outil « RULER », qui est conçu pour abuser des services Microsoft Exchange. Ce fichier exploite la vulnérabilité CVE-2017-11774 d’Outlook, une vulnérabilité de contournement des fonctionnalités de sécurité qui affecte Microsoft Outlook et permet aux attaquants d’exécuter des commandes arbitraires, ont déclaré des chercheurs.

Les autres services de Microsoft qui sont attaqués

Les cybercriminels ciblent également les services prenant en charge Exchange et OWA. Par exemple, les serveurs d’accès client (CAS), qui gèrent toutes les connexions client à Exchange Server 2010 et Exchange 2013, fonctionnent généralement dans des portails de connexion Web pour les services, y compris OWA. Les attaquants ayant accès aux servers d’accès clients peuvent être en mesure de déployer des capacités pour voler les informations de connexion des utilisateurs, ont déclaré les chercheurs.

«Notamment, un acteur malveillant aurait déployé des web shells pour récupérer les informations d’identification des utilisateurs d’OWA lorsqu’ils se sont connectés», ont-ils déclaré.

La plate-forme de Windows Internet Information Services (IIS), qui prend en charge OWA, est une autre cible croissante. IIS est un logiciel de serveur Web créé par Microsoft pour une utilisation avec la famille Windows. Les chercheurs ont déclaré avoir observé SOURFACE, par exemple, déployer des shells Web ASPX (Active Server Page Extended) personnalisés dans des répertoires IIS au sein de l’environnement OWA de la victime. Ces shells Web incluraient des noms de fichiers discrets, pour ressembler à des fichiers légitimes sur le système de la victime (par exemple «login2.aspx» au lieu de «login.aspx»). Et, pour échapper à la détection statique, ils contenaient généralement des fonctionnalités limitées, souvent uniquement le téléchargement et l’envoi de fichiers ou l’exécution de commandes.

«Les opérateurs SOURFACE ont modifié leur approche à mesure que l’intrusion progressait. Au lieu de placer des fichiers supplémentaires pour accomplir des fonctionnalités malveillantes, l’adversaire a ajouté du code web shell aux fichiers légitimes dans IIS », ont déclaré les chercheurs. «Il est probable qu’ils l’ont fait pour réduire l’identification par les défenses du réseau et garantir un accès permanent, même si d’autres fichiers shell Web ont été identifiés et supprimés.»

Microsoft Exchange

Les chercheurs ont déclaré qu’à l’avenir, les attaquants continueront d’innover leurs techniques pour attaquer les services Microsoft, comme Exchange, de manière à défier naturellement les défenses du réseau. Au-delà des logiciels malveillants, Microsoft est en tête du peloton en ce qui concerne les usurpations d’identité de pirates informatiques – avec les produits et services Microsoft figurant dans près d’un cinquième de toutes les attaques d’hameçonnage de marques mondiales au troisième trimestre de cette année, selon les chercheurs de Check Point.

Ces capacités et approches du contournement de la détection soulignent l’importance d’identifier et de traquer les adversaires prioritaires, puis de se débarrasser des menaces contre les comportements spécifiques employés par ces adversaires.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x