Threat Spotlight : comment les attaquants utilisent les règles des boîtes de réception pour échapper à la détection après la compromission d'un compte

Les règles automatisées de la boîte de réception sont une fonctionnalité utile, présente dans la plupart des clients de messagerie. Ces règles aident les utilisateurs à gérer leurs boîtes de réception et le flux quotidien des messages désirés ou non en leur permettant de déplacer les e-mails dans des dossiers spécifiques, de les transférer à des collègues lorsqu’ils sont en vacances ou tout simplement de les supprimer.

Si des pirates ont compromis votre compte, ils peuvent utiliser les règles de la boîte de réception pour se cacher pendant qu’ils, entre autres activités malveillantes, déplacent discrètement des informations hors du réseau par l’intermédiaire de votre boîte de réception, s’assurent que vous ne voyez pas les avertissements de sécurité, classent les messages sélectionnés dans des dossiers peu utilisés pour vous empêcher de les trouver facilement, ou encore suppriment les messages provenant du cadre supérieur qu’ils prétendent être pour tenter de vous soutirer de l’argent.

En bref, il s’agit d’une tactique d’attaque à la fois discrète et efficace, facile à mettre en œuvre sur un compte compromis.

La détection des e-mails a progressé au fil des ans, et l’utilisation du machine learning a permis de repérer plus facilement la création de règles suspectes mais, comme le montrent les chiffres de détection de Barracuda, les attaquants continuent de mettre en œuvre cette technique, souvent avec succès. Étant donné que la technique nécessite de compromettre un compte, les chiffres peuvent sembler relativement faibles. Cependant, elle représente toujours une menace sérieuse pour l’intégrité des données et des actifs d’une entreprise, notamment parce que la création de règles est une technique qui intervient après la compromission d’un compte. Elle indique que des attaquants sont déjà présents sur votre réseau et qu’il faut agir immédiatement pour les en expulser.

Selon nous, il est important de comprendre le risque et de savoir comment y répondre. Cet article explique comment les pirates utilisent des règles de messagerie automatisées à des fins malveillantes et donne une liste des mesures défensives en indiquant celles qui fonctionnent et celles qui ne fonctionnent pas.

L'e-mail est un vecteur d'attaque principal

Les attaques véhiculées par e-mail ont un taux de réussite élevé et constituent un point d’entrée courant pour de nombreuses autres cyberattaques. Une étude de Barracuda a révélé que 75 % des entreprises interrogées dans le monde avaient connu au moins une violation de la sécurité des e-mails en 2022.

Ces attaques vont du phishing basique et des pièces jointes ou des liens malveillants aux techniques d’ingénierie sociale sophistiquées telles que la compromission des e-mails professionnels, le détournement de conversations et le piratage de compte. Certains des types les plus avancés sont associés à des règles de messagerie malveillantes.

Comment les pirates créent des règles de messagerie automatisées et pourquoi 

Afin de créer des règles de messagerie malveillantes, les pirates doivent avoir compromis un compte cible, par exemple au moyen d’un e-mail de phishing ou d’identifiants volés lors d’une violation antérieure. Une fois que le pirate contrôle le compte de messagerie de la victime (un type d’attaque appelé piratage de compte), il peut définir une ou plusieurs règles de messagerie automatisées, un processus simple qui permet aux attaquants de maintenir un accès à la fois discret et persistant à la boîte mail, qu’ils peuvent utiliser à diverses fins malveillantes.

Utilisation des règles de messagerie pour voler des informations ou de l'argent, et retarder la détection

Les pirates peuvent définir une règle qui transférera à une adresse externe tous les e-mails contenant des mots-clés indiquant une opération financière comme « paiement », « facture » ou « confidentiel ».  

Les pirates peuvent également définir des règles de messagerie qui masqueront certains e-mails entrants en les déplaçant des dossiers rarement utilisés, en les marquant comme lus ou simplement en les supprimant. Le but est de masquer les alertes de sécurité, les communications de commande et de contrôle, les réponses aux e-mails de spear-phishing internes envoyés à partir du compte compromis, mais aussi de ne pas être détecté par le propriétaire du compte, qui utilise probablement le compte en même temps que les intrus sans avoir conscience de leur présence.

En outre, les pirates peuvent créer des règles de transfert d’e-mails pour surveiller les activités d’une victime et collecter des informations sur elle ou son entreprise, qui seront ensuite utilisées dans le cadre de nouveaux exploits ou attaques.

Utilisation de règles de messagerie pour les attaques BEC (compromission des e-mails professionnels)

Les attaques BEC visent à convaincre d’autres personnes qu’un e-mail provient d’un utilisateur légitime, le but étant d’escroquer l’entreprise, ses employés, ses clients et/ou ses partenaires. 

Les pirates peuvent définir une règle qui supprime tous les e-mails entrants d’un responsable, par exemple le directeur financier. Cela permet aux pirates de se faire passer pour lui et d’envoyer à ses collègues de faux e-mails pour les convaincre de transférer des fonds de l’entreprise vers un compte bancaire appartenant aux pirates.

En novembre 2020, le FBI a publié une notification sur la façon dont les cybercriminels exploitent le manque de synchronisation et de visibilité entre les clients de messagerie web et les logiciels de bureau pour définir des règles de transfert d’e-mails qui augmentent la probabilité de réussite d’une attaque BEC.

Utilisation des règles de messagerie dans des attaques ciblées provenant d'États-nations

Les règles de messagerie malveillantes sont également utilisées dans des attaques ciblées. La base de connaissances MITRE ATT&CK^® des tactiques et des techniques utilisées par les pirates classe le transfert d’e-mails malveillant sous la référence T1114.003 et nomme trois groupes persistants de menaces avancées (APT) qui utilisent la technique. Il s’agit de Kimsuky, un acteur national de cyberespionnage, de LAPSUS$, connu pour ses attaques d’extorsion et de perturbation, et de Silent Librarian, un autre groupe national associé au vol de propriété intellectuelle et de connaissances issues de la recherche.

MITRE classe les règles de masquage des e-mails (référence T1564.008) comme technique utilisée pour échapper à la détection.  FIN4 est un APT connu pour utiliser cette technique, un acteur malveillant motivé par le gain financier, qui crée des règles dans les comptes des victimes pour supprimer automatiquement les e-mails contenant des mots tels que « hacked », « phish » et « malware », probablement pour empêcher l’équipe informatique de la victime d’alerter les employés et d’autres personnes de leurs activités.

Les techniques de défense qui ne fonctionnent pas (par elles-mêmes)

Si la règle malveillante n’est pas détectée, elle reste opérationnelle même si le mot de passe de la victime est modifié et même si la victime active l’authentification multifacteur, impose d’autres politiques d’accès conditionnel strictes ou si son ordinateur est entièrement reconstruit. Tant que la règle reste en place, elle continue de fonctionner.

De plus, même si les règles de messagerie suspectes peuvent être le signe d’une attaque, les considérer de manière isolée ne peut pas fournir un signal suffisamment fort pour indiquer qu’un compte a effectivement été compromis. Les défenses doivent prendre en compte plusieurs signaux pour réduire le bruit de fond et alerter l’équipe de sécurité sur la présence d’une attaque réelle. La nature dynamique et évolutive des cyberattaques, notamment l’utilisation de tactiques sophistiquées par les pirates, nécessite une approche multifactorielle de la détection et de la défense.

Les défenses qui marchent

La création de règles dans une boîte de réception étant une technique post-compromission, la protection la plus efficace demeure la prévention, à savoir empêcher les attaquants de compromettre le compte. Notez que vous devez également mettre en place des mesures efficaces de détection et de réponse aux incidents pour identifier les comptes piratés et atténuer l’impact.

Cela inclut une visibilité complète sur chaque action effectuée dans la boîte de réception de chaque employé, les règles créées, les modifications et les accès, l’historique de connexion de l’utilisateur, l’heure et le contexte des e-mails envoyés, etc. La protection basée sur l’IA de Barracuda utilise ces données pour créer un profil de compte intelligent pour chaque utilisateur. Ainsi, toute anomalie, aussi subtile soit-elle, est immédiatement signalée. En outre, la protection contre l’usurpation d’identité de Barracuda prend en compte plusieurs signaux tels que les données de connexion, les e-mails et les modèles statistiques, ainsi que des règles pour identifier une attaque par piratage de compte.

Enfin, les mesures étendues de détection et de réponse (XDR), notamment XDR Cloud Security de Barracuda et la surveillance 24 h/24 et 7 j/7 par un centre d’opérations de sécurité (SOC), peuvent contribuer à garantir que même des activités profondément dissimulées sont repérées et neutralisées. 

Ce Threat Spotlight a été rédigé par Prebh Dev Singh avec l’assistance de Tilly Travers et d’Alex Angel pour la recherche et le contenu.