Microsoft a observé une activité suspecte autour d’un groupe de cyberespionnage nommé Peach Sandstorm, également connu dans le secteur sous les noms de Holmium, Elfin et APT33. Soutenu par l’Etat iranien, il a lancé des attaques en se servant de la technique de pulvérisation de mots de passe contre des milliers d’entreprises de différents secteurs activités (spatiales, défense et industrie pharmaceutique). « Une partie des actions post-compromission menées en 2023 par le groupe Peach Sandstorm a été furtive et sophistiquée », a déclaré Microsoft dans un rapport sur la campagne d'attaque qui s'est déroulée entre février et juillet. « Bon nombre des tactiques, techniques et procédures (TTP) basées sur le cloud et observées dans ces campagnes les plus récentes, sont matériellement plus sophistiquées que les capacités utilisées par Peach Sandstorm dans le passé ».

La pulvérisation de mots de passe, vecteur d'attaque préféré des espions

Cela fait depuis longtemps que le groupe se sert de la pulvérisation de mots de passe pour accéder à des cibles. Contrairement aux attaques par force brute où un grand nombre de combinaisons de mots de passe sont testées pour forcer l’accès à un seul compte, la méthode cible plusieurs comptes avec un seul ou un petit sous-ensemble de mots de passe courants. Il s’agit d’une attaque bruyante qui laisse des traces dans les logs et peut déclencher des mécanismes de défense, ce qui explique pourquoi ce n'est pas le seul vecteur d'accès initial utilisé par Peach Sandstorm. Quelques victimes ont été ciblées par des exploits pour des failles d'exécution de code à distance dans les produits Zoho ManageEngine et Confluence (CVE-2022-47966 et CVE-2022-26134). D’après les preuves récoltées, il semble qu'une grande partie du ciblage basé sur la pulvérisation de mots de passe était opportuniste, les attaquants visant des milliers de comptes et d’entreprises dans l'espoir de gagner l’accès au plus grand nombre possible de cibles, et de trier ensuite les victimes. Les attaques ont toujours eu lieu entre 9 heures et 17 heures, dans le fuseau horaire de l'Iran, et ont été lancées à partir d'adresses IP Tor avec un user agent de navigateur appelé « go-http-client ».

Pour une partie des comptes compromis, les attaquants ont utilisé AzureHound et ROADtools, deux frameworks open source qui peuvent être utilisés pour effectuer une reconnaissance dans les environnements Microsoft Entra ID (anciennement Azure Active Directory) en interagissant avec Microsoft Graph et les API REST dans le but d'exfiltrer des données d'intérêt du compte cloud d'une victime. « Les fonctionnalités AzureHound et Roadtools sont utilisées aussi bien par les défenseurs, les équipes rouges que par les adversaires », a fait remarquer Microsoft dans son rapport. « Les mêmes caractéristiques qui rendent ces outils intéressants pour des utilisateurs légitimes, par exemple ses capacités prédéfinies d'exploration et de vidage discret des données dans une seule base de données, en font également des options attrayantes pour les adversaires qui cherchent des informations sur ou à partir de l'environnement d'une cible », a ajouté Microsoft. Pour parvenir à la persistance, les attaquants ont mis en place des abonnements Azure sur les tenant des victimes, qui ont été utilisés pour établir une communication de commande et de contrôle avec l'infrastructure exploitée par le groupe. Ils ont aussi installé le client Azure Arc sur des appareils dans les environnements compromis et l'ont connecté à un abonnement Azure sous leur contrôle, ce qui leur a permis de prendre le contrôle à distance de ces appareils. La fonctionnalité Azure Arc permet de gérer à distance des systèmes Windows et Linux dans un environnement Azure AD.

Autres outils et techniques post-compromission

Après avoir obtenu la persistance, les attaquants de Peach Sandstorm ont déployé divers outils publics et personnalisés, dont AnyDesk, un outil commercial de Surveillance et gestion à distance (Remote monitoring and management, (RMM), et EagleRelay, un outil personnalisé de tunnelisation du trafic que les attaquants ont déployé sur des machines virtuelles créées dans les environnements des victimes. Parmi les autres techniques employées par le groupe figurent l'utilisation abusive du protocole RDP (Remote Desktop Protocol), l'exécution d'un code malveillant en détournant une DLL avec un exécutable VMware légitime et le lancement d'une attaque Golden SAML.

« Dans une attaque Golden SAML, un adversaire vole les clés privées du serveur Active Directory Federated Services (AD FS) sur site d'une cible et utilise les clés volées pour monnayer un jeton SAML approuvé par l'environnement Microsoft 365 d'une cible », a expliqué Microsoft. « En cas de succès, un acteur de la menace peut contourner l'authentification AD FS et accéder aux services fédérés comme n'importe quel utilisateur ». Microsoft recommande de traiter les serveurs AD FS comme des actifs Tier 0, car leur compromission peut donner aux attaquants le contrôle total de l'authentification des tenant Entra ID et d'autres parties de relais configurées.

Limiter les attaques par pulvérisation de mot de passe

L'entreprise recommande également de réinitialiser les mots de passe des comptes et les cookies de session pour tous les comptes ciblés par une attaque par pulvérisation de mot de passe, ainsi que d'effectuer des investigations supplémentaires si les comptes ciblés disposent d'autorisations au niveau du système. Les paramètres d'authentification multifactorielle (MFA) des comptes doivent également être examinés et toute modification apportée par les attaquants doit être révoquée.

Microsoft recommande par ailleurs :

- de créer des politiques d'accès conditionnel pour autoriser ou interdire l'accès à l'environnement en fonction de critères définis.

- de bloquer l'authentification traditionnelle avec Entra ID en utilisant l'accès conditionnel. Les protocoles d'authentification traditionnels n'ont pas la capacité d'appliquer la MFA, et le blocage de ces méthodes d'authentification empêchera les attaquants par pulvérisation de mot de passe de profiter de l'absence d'authentification multifactorielle sur ces protocoles.

- d’activer le verrouillage de l'extranet du proxy de l'application web AD FS pour protéger les utilisateurs contre la compromission potentielle par force brute du mot de passe.

- d’appliquer le principe du moindre privilège et de vérifier l'activité des comptes à privilèges dans les environnements Microsoft Entra ID afin de ralentir et d'arrêter les attaquants.

- de déployer Entra ID Connect Health pour Active Directory Federation Services (AD FS) de façon à pouvoir capturer les tentatives infructueuses ainsi que les adresses IP enregistrées dans les journaux AD FS et d’inscrire les mauvaises requêtes dans le rapport Risky IP.

- d’utiliser la protection des mots de passe Entra ID pour détecter et bloquer les mots de passe faibles connus et leurs variantes.

- d’activer la protection de l'identité dans Entra ID pour surveiller les risques liés à l'identité et créer des politiques pour les connexions à risque.

- d’utiliser l'authentification multifactorielle MFA pour limiter les attaques par pulvérisation de mot de passe ; de garder la MFA toujours active pour les comptes à privilèges et d’appliquer une MFA basée sur les risques pour les comptes normaux.

- d’envisager de basculer vers une méthode d'authentification primaire sans mot de passe, comme Azure MFA, les certificats ou Windows Hello for Business.

- de sécuriser les points d'extrémité RDP ou Windows Virtual Desktop avec la MFA pour les protéger contre les attaques par pulvérisation de mot de passe ou par force brute.