Intrus cachés dans la boîte aux lettres électronique

Bien que la sécurité du courrier électronique ait évolué et que l'utilisation de l'apprentissage automatique ait facilité la détection des créations de règles de boîte de réception suspectes, les pirates continuent d'utiliser cette technique avec succès. Comme elle nécessite un compte compromis, le nombre total de cette menace est probablement faible. Néanmoins, elle constitue une menace sérieuse pour l'intégrité des données et des actifs d'une entreprise, notamment parce que la création de règles par un attaquant est une technique qui intervient après la compromission, ce qui signifie qu'il se trouve déjà sur le réseau et que des contre-mesures immédiates sont nécessaires.
Les paragraphes suivants expliquent comment les attaquants abusent des règles de messagerie automatisées et comment les entreprises peuvent se protéger efficacement.

Le courrier électronique est un vecteur d'attaque primaire

Les attaques basées sur les e-mails ont un taux de réussite élevé et constituent un point d'entrée courant pour de nombreuses autres cyber-attaques. Une étude de Barracuda a révélé que 75 % des entreprises interrogées dans le monde ont enregistré au moins une violation de sécurité par e-mail en 2022. Ces attaques vont de simples attaques de phishing et de liens ou pièces jointes malveillants à des techniques d'ingénierie sociale sophistiquées comme le Business Email Compromise (BEC), le détournement de conversation et la prise de contrôle de compte. Certains des types les plus avancés sont liés à des règles de messagerie malveillantes.

Comment les attaquants créent des règles de messagerie automatisées

Pour créer des règles de messagerie malveillantes, les attaquants doivent avoir compromis un compte cible, par exemple par un e-mail d'hameçonnage réussi ou au moyen d'identifiants volés obtenus lors d'une intrusion précédente. Une fois que l'attaquant a pris le contrôle du compte de messagerie de la victime, il peut mettre en place une ou plusieurs règles de messagerie automatisées.

Règles du courrier électronique pour le vol d'informations et le camouflage

Les pirates peuvent définir une règle pour rediriger vers une adresse externe tous les e-mails contenant des mots-clés sensibles et potentiellement lucratifs tels que "paiement", "facture" ou "confidentiel". Ils peuvent également abuser des règles de messagerie pour dissimuler certains messages entrants en les déplaçant vers des dossiers rarement utilisés, en marquant les messages comme lus ou en les supprimant tout simplement. Par exemple, pour dissimuler les alertes de sécurité, les messages de commande et de contrôle ou les réponses aux e-mails internes de spear phishing envoyés depuis le compte compromis, ou pour couvrir leurs traces devant le propriétaire du compte, qui utilise probablement le compte au même moment sans être au courant des intrusions. En outre, les pirates peuvent également abuser des règles de transfert d'e-mails pour surveiller les activités d'une victime et collecter des informations sur la victime ou l'organisation de la victime afin de les utiliser pour d'autres attaques ou opérations.

Utilisation des règles de messagerie pour les attaques BEC

Dans les attaques BEC (Business Email Compromise), les cybercriminels tentent de convaincre leurs victimes qu'un e-mail provient d'un utilisateur légitime afin d'escroquer l'entreprise et ses employés, clients ou partenaires. Les pirates peuvent par exemple mettre en place une règle qui supprime tous les e-mails entrants d'un employé ou d'un supérieur particulier, comme par exemple le directeur financier (CFO). De cette manière, les criminels peuvent se faire passer pour le directeur financier et envoyer de faux e-mails aux employés pour les convaincre de transférer les fonds de l'entreprise sur un compte bancaire contrôlé par les attaquants.

En novembre 2020, le FBI a publié un rapport sur la manière dont les cybercriminels exploitent le manque de synchronisation et de transparence en matière de sécurité entre les clients de messagerie basés sur le web et les clients de messagerie de bureau pour définir des règles de transfert d'e-mails et augmenter ainsi la probabilité d'une attaque BEC réussie.

Utilisation des règles de messagerie en cas d'attaques ciblées au niveau national

Les règles de messagerie malveillantes sont également utilisées dans le cadre d'attaques nationales ciblées. Le Framework of Adversary Tactics and Techniques nommé MITRE ATT&CK mentionne trois APT (Advanced Persistent Threat Groups) qui utilisent la technique du transfert malveillant de courriels (T1114.003). Il s'agit de Kimsuky, un groupe national de menace de cyberespionnage, de LAPSUS$, connu pour ses attaques d'extorsion et de brouillage, et de Silent Librarian, un autre groupe national associé au vol de propriété intellectuelle et de recherche.

MITRE classe les règles de dissimulation d'e-mails (T1564.008) comme une technique utilisée pour contourner les défenses de sécurité. Une APT connue pour utiliser cette technique est FIN4, un acteur de la menace motivé par des raisons financières qui crée des règles dans les comptes des victimes pour supprimer automatiquement les e-mails contenant des mots tels que "piraté", "phish" et "malware", probablement pour empêcher l'équipe informatique de la victime d'informer les employés et d'autres personnes de leurs activités.

Des mesures de sécurité qui ne fonctionnent pas seules

Si une règle malveillante n'est pas détectée, elle reste en vigueur même si le mot de passe de la victime est modifié, si une authentification à plusieurs niveaux est activée, si d'autres politiques strictes d'accès conditionnel sont mises en place ou si l'ordinateur est entièrement reconstruit. Tant que la règle reste en vigueur, elle reste efficace.

Même si des règles de messagerie suspectes peuvent être un bon indice d'une attaque, l'observation isolée de ces règles n'est pas un signal suffisant pour indiquer qu'un compte a été compromis. Les mesures de défense doivent donc utiliser plusieurs signaux afin de réduire les informations non pertinentes et d'attirer l'attention de l'équipe de sécurité sur une attaque par courriel probablement réussie. La nature dynamique et évolutive des cyberattaques, y compris l'utilisation de tactiques sophistiquées par les attaquants, nécessite une approche multidimensionnelle de la détection et de la défense.

Des mesures de défense efficaces

Comme la création de règles de boîte de réception est une technique qui n'est utilisée qu'après la compromission, la protection la plus efficace est la prévention, c'est-à-dire empêcher les attaquants de s'emparer du compte en premier lieu. Toutefois, les entreprises ont également besoin de mesures efficaces de détection et de réaction aux incidents afin d'identifier les comptes attaqués et d'atténuer l'impact de ces attaques. Cela implique une visibilité complète de toutes les actions effectuées dans la boîte de réception de chaque employé et des règles créées, de ce qui a été modifié ou de ce à quoi on a accédé, de l'historique de connexion de l'utilisateur, de l'heure, du lieu et du contexte des e-mails envoyés, et bien plus encore. Les solutions avancées de sécurité de la messagerie basées sur l'IA utilisent ces données pour créer un profil de compte intelligent pour chaque utilisateur et marquent immédiatement toute anomalie, même minime. Une fonction de protection contre l'usurpation d'identité utilise en outre plusieurs signaux tels que les données de connexion, les données de messagerie et les modèles statistiques, associés à des règles, pour détecter une attaque par usurpation de compte.

Enfin, des mesures de détection et de réaction étendues (Extended Detection and Response, XDR) et une surveillance 24h/24 et 7j/7 par un Security Operations Center (SOC), peuvent contribuer à détecter et à neutraliser même les activités profondément cachées et dissimulées. L'abus des règles de boîte de réception est l'une des tactiques les plus perfides des cybercriminels. Les mesures susmentionnées permettent toutefois aux entreprises de se défendre de manière adéquate contre cette menace afin de protéger leurs données et leurs actifs sensibles.

Auteur : Dr. Klaus Gheri, VP & GM Network Security chez Barracuda Réseaux