Nouvelle Campagne de l’Acteur Malveillant Storm-0539

Nouvelle Campagne de l’Acteur Malveillant Storm-0539 : Le FBI Met en Garde contre les Fraudes aux Cartes-Cadeaux.

Le FBI a récemment lancé une mise en garde contre le groupe de pirates informatiques connu sous le nom de Storm-0539, alias Atlas Lion.

Cette organisation aurait mis en place un vaste réseau de fraude aux cartes-cadeaux, ciblant principalement les entreprises de vente au détail. Actif depuis au moins 2021, Storm-0539 est principalement motivé par des gains financiers.

Plus précisément, ce groupe spécialisé dans l’escroquerie financière cible les employés des services de cartes-cadeaux des entreprises de vente au détail. Le modus operandi de Storm-0539 repose sur des méthodes sophistiquées de phishing, telles que l’attaque au milieu de l’adversaire (AiTM) ou le SMiShing, lancées probablement depuis le début de l’année 2024. Cette activité semble s’intensifier pendant les périodes de fêtes, visant ainsi à maximiser leur impact financier.

Les appareils mobiles, qu’ils soient personnels ou professionnels, des employés des rayons de vente au détail sont les principales cibles de cette campagne de phishing. Storm-0539 utilise un kit de phishing avancé qui contourne les mesures d’authentification multifacteur (MFA), une méthode de sécurité électronique qui exige plusieurs éléments de preuve pour accéder à une application.

Déjà en décembre 2023, Microsoft avait observé une augmentation significative des activités malveillantes de Storm-0539, qui ciblait principalement les secteurs de la vente au détail avec des attaques sophistiquées de phishing par e-mail et SMS. Les attaquants exploitaient les accès pour élever leurs privilèges, infiltrer les réseaux et abuser des ressources du cloud.

Le groupe Storm-0539 a été associé à diverses activités malveillantes dans le passé. Voici quelques exemples d’actions antérieures du groupe :

  1. Attaques de Phishing Sophistiquées : Storm-0539 a été impliqué dans des attaques de phishing sophistiquées, ciblant principalement les organisations du secteur de la vente au détail. Ils ont utilisé des techniques de phishing par e-mail et SMS pour tromper les employés et leur soutirer des informations sensibles, telles que des identifiants de connexion et des informations financières.
  2. Exploitation de Vulnérabilités : Le groupe a été associé à l’exploitation de vulnérabilités dans les systèmes informatiques des entreprises ciblées. En exploitant ces failles de sécurité, ils ont pu accéder à des informations confidentielles, compromettre des comptes utilisateurs et compromettre l’intégrité des réseaux informatiques.
  3. Abus des Ressources du Cloud :  Storm-0539 a été impliqué dans l’abus des ressources du cloud. Une fois qu’ils ont obtenu un accès non autorisé aux systèmes des organisations, ils ont utilisé ces ressources pour exécuter des opérations malveillantes, telles que le stockage de logiciels malveillants, le vol de données et le déploiement de ransomwares.
  4. Collecte de Données Personnelles : En plus de leurs activités de fraude aux cartes-cadeaux, Storm-0539 a également été impliqué dans la collecte de données personnelles des victimes. Cela comprend les informations telles que les adresses e-mail, les listes de contacts et les configurations réseau. Ces données sont souvent utilisées pour mener d’autres attaques ou vendues sur le marché noir.

Au début du mois de mai 2024, le FBI a publié une note indiquant qu’une société avait détecté une activité frauduleuse de carte-cadeau Storm-0539 dans son système et avait mis en place des modifications pour empêcher la création de cartes-cadeaux frauduleuses.

Selon les experts en sécurité de Microsoft, la technique couramment utilisée par Storm-0539 consiste à enregistrer leur propre appareil pour les invites d’authentification secondaires ultérieures, contournant ainsi les protections MFA et persistant dans l’environnement en utilisant une identité entièrement compromise.

En plus de leurs activités de fraude aux cartes-cadeaux, Storm-0539 collecte également des données personnelles exploitables, telles que les e-mails, les listes de contacts et les configurations réseau, ce qui leur permet d’initier de nouvelles attaques contre leurs victimes ultérieurement.

En résumé, Storm-0539 est un groupe de pirates informatiques bien organisé et motivé financièrement. Leurs actions antérieures comprennent des attaques sophistiquées de phishing, l’exploitation de vulnérabilités, l’abus des ressources du cloud et la collecte de données personnelles. Ces activités soulignent l’importance pour les organisations de renforcer leur sécurité informatique et de mettre en œuvre des mesures de protection robustes contre les cybermenaces.

De son coté, le FBI recommande aux organisations d’examiner et de mettre à jour leurs plans de réponse aux incidents, ainsi que d’envisager des stratégies d’atténuation pour réduire le risque et l’impact des campagnes de SMiShing/phishing, comme proposé le 6 mai 2024.

 

A propos de l'auteur

Retour en haut