Temps de lecture: 2 minutes.
Le groupe menaçant UNC3944, connu sous le nom d’araignée dispersée, a été observé en train d’exploiter des techniques d’ingénierie sociale contre les centres d’aide d’entreprise pour obtenir un accès initial à des comptes privilégiés. Cette attaque sophistiquée consiste à utiliser des informations personnelles déjà en possession du groupe pour contourner les contrôles d’identité des utilisateurs. En utilisant des informations telles que les quatre derniers chiffres des numéros de sécurité sociale, les dates de naissance et les noms des managers, UNC3944 a réussi à accéder à plusieurs comptes de haut niveau.
Tactiques d’ingénierie sociale et accès aux données sensibles
UNC3944 a utilisé des tactiques de ingénierie sociale systématiquement, appelant souvent les centres de service pour demander une réinitialisation de l’authentification multifacteur (MFA) sous prétexte d’obtenir un nouveau téléphone. Après avoir obtenu un premier accès, le groupe a mené une reconnaissance interne sur les applications Microsoft telles que SharePoint pour identifier les exigences de connexion à distance, ciblant souvent les guides et la documentation internes pour les VPN, les infrastructures de bureaux virtuels (VDI) et les utilitaires de télétravail à distance.
Abus des autorisations Okta
UNC3944 a également exploité les techniques d’abus d’autorisations d’Okta, en attribuant automatiquement un compte compromis à toutes les applications d’une instance Okta afin d’étendre la portée de l’intrusion aux applications Cloud et SaaS. Cela a permis au groupe d’effectuer une reconnaissance interne via le portail Web Okta, en observant visuellement quelles applications étaient disponibles après ces attributions de rôles.
Compromission des machines virtuelles
Un aspect de ces intrusions inclut la création de nouvelles machines virtuelles comme méthode de persistance. Mandiant a observé UNC3944 accéder à vSphere et Azure à l’aide d’applications d’authentification unique pour créer de nouvelles machines virtuelles à partir desquelles effectuer toutes les activités ultérieures. L’utilisation d’outils accessibles au public tels que MAS_AIO et Privacy-script.bat a permis à l’équipe de reconfigurer les nouvelles machines virtuelles pour désactiver diverses politiques, y compris la protection par défaut de Microsoft Defender.
Attaques contre les applications SaaS
En plus de l’activité traditionnelle sur site, UNC3944 a mené des attaques contre des applications SaaS en utilisant des informations d’identification volées pour accéder à des applications protégées par des fournisseurs d’authentification unique. Un accès non autorisé à des applications telles que vCenter, CyberArk, SalesForce, Azure, CrowdStrike, AWS et Google Cloud Platform (GCP) a été observé. L’activité visait principalement à découvrir des infrastructures clés et des cibles potentielles d’exfiltration, telles que des bases de données et du contenu Web.
Les travaux de l’UNC3944 mettent en évidence l’importance de sécuriser les applications SaaS et les infrastructures cloud. Les techniques avancées d’ingénierie sociale et la capacité de contourner les mesures de sécurité traditionnelles nécessitent une attention continue et des mesures de sécurité avancées pour protéger les actifs de l’entreprise. Mandant recommande aux organisations de revoir et de renforcer leurs stratégies de sécuriténotamment celles liées aux authentifications et autorisations des applications cloud et SaaS.
