Usurpation ouverte

12 février 2025

Par l'équipe de recherche sur les menaces de Mimecast

Flux de campagne

TO3028 en un coup d'œil

TO3028 est un acteur malveillant très organisé et sophistiqué, reconnu par Mimecast pour sa capacité à développer et à déployer des techniques de diffusion avancées exploitant les faiblesses des systèmes de sécurité modernes. Opérant avec précision et persévérance, ce groupe possède une compréhension approfondie des protocoles de messagerie, des mécanismes d'authentification et des complexités de l'infrastructure de sécurité basée sur le cloud.

Leurs campagnes sont planifiées et s'appuient sur des procédures de test systématiques et une expertise spécialisée pour contourner les défenses et atteindre leurs objectifs. Les opérations du groupe ont évolué au fil des années d’activité soutenue, faisant preuve d’un niveau de professionnalisme qui reflète les entreprises légitimes.

Ce qui distingue TO3028, c'est son ingéniosité et sa capacité d'adaptation. Il est probable qu'ils emploient des équipes spécialisées pour le développement, les tests et le déploiement d'infrastructures, ce qui démontre une capacité inégalée à exploiter les faiblesses des systèmes de messagerie électronique à l'échelle mondiale. Leurs campagnes, souvent axées sur la collecte d'informations d'identification, utilisent des tactiques de distribution à grande échelle associées à de nombreux leurres de phishing, conçus pour tromper les utilisateurs finaux. Avec une stratégie visant à échapper à la détection et à maintenir un accès persistant aux systèmes compromis, TO3028 continue de poser un défi important.

Exploitation innovante des services de messagerie des fournisseurs d'accès Internet

Les dernières campagnes de TO3028 se concentrent sur l'exploitation stratégique des services de messagerie des fournisseurs d'accès à Internet via des routeurs de consommateurs compromis. Le processus comprend :

1. Compromission des routeurs : les attaquants ciblent les routeurs des clients du fournisseur d'accès à Internet (FAI), en exploitant des vulnérabilités connues ou des identifiants par défaut faibles. Mettre en place le contrôle pour configurer ces routeurs en tant que serveurs proxy.
2. Configuration du serveur proxy : le routeur compromis est configuré en tant que serveur proxy et achemine tout le trafic Internet provenant des appareils connectés via celui-ci.
3. Distribution de spam via les serveurs de messagerie du FAI : le routeur compromis relaie les spams via les serveurs de messagerie du FAI, en utilisant l'adresse IP du routeur comme point d'origine.

L'exploitation par TO3028 des services de messagerie des fournisseurs d'accès à Internet offre plusieurs avantages pour la distribution de spam :

Infrastructure d'origine masquée : la connexion proxy masque l'infrastructure de l'attaquant aux services d'analyse du spam. Les FAI gèrent souvent passivement leurs services de messagerie électronique gratuits, permettant ainsi aux attaquants de conserver leurs capacités de spam sans avoir à changer fréquemment d'infrastructure.

Usurpation illimitée de l'expéditeur : de nombreux services anti-spam s'appuient sur la réputation de l'expéditeur. Sans authentification de l’expéditeur, les attaquants peuvent modifier les informations de l’expéditeur pour échapper à ces contrôles sans avoir besoin de nouvelles informations d’identification compromises.

Analyse détendue des spams sortants : la plupart des services de messagerie des FAI ont des contrôles de sécurité de base et manquent de vérifications anti-spam robustes, ce qui déplace l'attention de l'attaquant vers la délivrabilité entrante vers leurs cibles.
Disponibilité : l'intégration fréquente de nouveaux services de messagerie des FAI dans l'écosystème du spam suggère que l'attaquant dispose de méthodes facilement disponibles pour exploiter ces services. De nombreux FAI semblent utiliser Zimbra ou Magicmail.

Taux d'envoi élevés : l'absence d'authentification se traduit souvent par des taux d'envoi d'e-mails non contrôlés, ce qui permet de mener des campagnes à grande échelle sur de courtes périodes.

Dans le cadre des récentes campagnes, nous avons observé que le modèle ci-dessus était utilisé par TO3028 et nous avons testé et distribué des e-mails de phishing par l'intermédiaire de l'infrastructure d'un important fournisseur d'accès Internet canadien, Distributel (une société Bell). Il a développé des techniques pour relayer de grands volumes de trafic d'e-mails via les agents de transfert d'e-mail (MTA) des FAI sans nécessiter de justificatifs d'authentification. Cet abus ne se limite pas aux domaines appartenant à Distributel, mais s'étend à l'usurpation de marques prestigieuses telles que BBC et CNN, ainsi qu'aux domaines des clients. Ces campagnes sont principalement axées sur la réalisation d'attaques de phishing d'identifiants, les identifiants volés étant ensuite utilisés pour la surveillance ciblée et l'exécution d'opérations frauduleuses.

Cette utilisation délibérée du domaine de la BBC, associée à des références à Docusign, vise à renforcer la crédibilité et à contourner les soupçons. La campagne de phishing s'appuie toujours sur des marques bien connues pour tromper le destinataire et l'inciter à cliquer sur un lien malveillant intitulé « CONSULTER LE DOCUMENT ».

Bien que l'URL intégrée pointe vers Docusign, elle comporte de multiples redirections qui aboutissent finalement à une destination malveillante hébergée sur canadacentral-01.azurewebsites[.]net.

Les principales observations incluent :

1. Domaines légitimes pour la redirection :
   • L’utilisation de federation.nih.gov et de www.applyweb.com dans le cadre de la chaîne de redirection fortement masquée donne l’illusion de légitimité.
2. Destination finale malveillante :
   • L'URL est hxxps : //filedocx-ejd6bncpcjhtdtgd.canadacentral-01.azurewebsites[.] net, hébergée sur l'infrastructure Azure de Microsoft.
   • Cette destination est conçue pour présenter un faux portail DocuSign ou une fausse page de collecte d'informations d'identification, où les victimes saisiraient des informations de connexion sensibles.
3. Techniques d'assombrissement :
   • La chaîne de redirection utilise une série de domaines légitimes pour masquer la véritable intention malveillante du lien, une technique couramment employée par l'encodage des URL et les longues chaînes de requête, rendant difficile pour les filtres d'e-mail et les utilisateurs occasionnels de détecter la menace.

Les opérations de TO3028 révèlent des failles systémiques dans les systèmes de messagerie électronique gérés par les FAI et mettent en évidence les risques d'une authentification faible et d'une surveillance insuffisante. Leur capacité à s'adapter et à intégrer de nouveaux outils et plateformes assure leur succès continu, soulignant la nécessité de politiques d'authentification robustes, d'une surveillance proactive et de pratiques de sécurité améliorées dans l'ensemble de l'écosystème des e-mails. Cette campagne met en évidence la sophistication évolutive de TO3028 et sa quête incessante d’exploitation des failles en matière de sécurité des e-mails.

Activité de campagne observée

L'activité liée à l'utilisation abusive des infrastructures des fournisseurs de services Internet met en évidence une augmentation progressive jusqu'à la mi-2024, suivie d'une forte hausse en novembre et d'un pic spectaculaire en décembre. Ce modèle suggère une stratégie délibérée de test et de mise à l'échelle :

• Mi-2024 : probablement des tests de leur méthodologie, avec des activités à faible volume destinées à affiner leurs tactiques.
• Novembre à décembre 2024 : exploitation à grande échelle, coïncidant avec l'intégration de nouveaux services de FAI dans leur écosystème de spam.

Cette activité souligne la capacité de TO3028 à adapter ses méthodes tout en développant systématiquement ses opérations afin d'en maximiser l'impact.

Tactiques, techniques et procédures

T1204.001 - Exécution par l'utilisateur : lien malveillant
T1566.002 - Phishing : Lien de spearphishing
T1598.002 : phishing pour information
T1090 - Proxy : compromission des routeurs grand public pour le relais de messagerie électronique
T1586.001 - Compromission de comptes : Comptes de messagerie
T1608.003 - Capacités de l'étape : installer du contenu Web malveillant
T1070.004 - Suppression d'indicateur sur l'hôte : exfiltration automatisée de spam

Protection Mimecast

Nous avons identifié plusieurs attributs dans les récentes campagnes qui ont été ajoutés à nos capacités de détection. Nous continuons à surveiller les tests et les mises à jour effectués par TO3028 afin de garantir la protection de nos clients.

Ciblage :

Monde entier, tous les secteurs

Les différentes campagnes menées par cet acteur malveillant ne présentent souvent pas d'indicateurs de compromission (IOC) correspondants en raison de l'utilisation de diverses techniques et leurres, ce qui donne lieu à des vecteurs d'attaque distincts.

CIO :

Envoi d'adresses

• donotreply@teksavvy[.]ca
• payoff@hysharma[.]com
• donotreply@cogeco[.]ca
• webmaster@a1[.]net
• noreply@videotron[.]com
• donotreply@distributel[.]net
• webmaster@socket[.]net

Sujets :

• États financiers pour Q : présentation et perspectives
• Bonjour, vous trouverez ci-joint le document de la lettre de remboursement**
• Rapport sur les bonus du 3e trimestre - Commissions finales - septembre 2024
• Inscrivez-vous dès maintenant : les inscriptions aux avantages pour 2024 sont ouvertes

Recommandations

• Effectuez une recherche dans vos journaux de réception d'e-mails pour déterminer si l'un des IOC a été envoyé à vos utilisateurs.
• Informez les utilisateurs finaux de la tendance continue à l’utilisation d’outils légitimes dans des campagnes malveillantes.