Mimecast révèle une opération de vol d’identifiants active depuis 2022. Elle exploite Amazon SES et le framework EvilGinx pour infiltrer les environnements d’accès à distance.
Les chercheurs de Mimecast ont révélé une campagne de cyberattaque qui vise directement les comptes d’administrateurs ScreenConnect. Avec des outils légitimes et des techniques de phishing perfectionnées, les cybercriminels parviennent à contourner les systèmes de sécurité modernes. Derrière ces opérations discrètes, des liens avec des groupes de ransomware se précisent. Cette campagne souligne la nécessité pour les entreprises d’adopter des défenses plus robustes face à une menace devenue structurelle.
Une opération discrète mais redoutablement méthodique
Depuis trois ans, une campagne de phishing d’un genre tenace se déroule presque en silence. Identifiée sous le nom de code MCTO3030 par l’équipe Mimecast Threat Research, dirigée par Samantha Clarke, elle vise les administrateurs cloud de ScreenConnect, solution d’accès à distance utilisée par des milliers d’entreprises. Sa particularité : une persistance remarquable et une sécurité opérationnelle digne d’un groupe de cybercriminalité avancé. Diffusée à faible volume, la campagne est restée largement inaperçue jusqu’à récemment.
Les chercheurs décrivent une mécanique d’attaque qui privilégie la précision à la masse. Les e-mails de spear phishing, transmis via Amazon Simple Email Service (SES), ciblent des responsables informatiques et des directeurs sécurité avec des privilèges étendus. Derrière une apparente alerte de sécurité, un simple bouton “Review Security” conduit vers une page de connexion falsifiée. L’objectif est clair : subtiliser les identifiants de super administrateur pour prendre le contrôle total de l’infrastructure ScreenConnect des victimes.
Un lien direct avec les ransomwares Qilin
L’enquête de Mimecast s’aligne sur des découvertes récentes de Sophos, qui a observé des tactiques similaires utilisées par des affiliés du groupe ransomware Qilin. Ce lien éclaire la finalité probable de MCTO3030 : préparer le terrain à des attaques de ransomware ciblées. Une fois les identifiants dérobés, les cybercriminels peuvent déployer des clients ScreenConnect piégés sur des centaines de terminaux en simultané. Résultat : un mouvement latéral quasi instantané et une dissémination de logiciels de rançon difficile à contenir.
“C’est une menace à bas bruit mais à haut impact”, commente un analyste de sécurité contacté par Mimecast. “En exploitant des canaux légitimes comme Amazon SES, les attaquants profitent de la confiance implicite des systèmes de messagerie.” Cela leur permet d’échapper à de nombreux filtres antispam et de maintenir une présence persistante dans les environnements compromis.
AITM et infrastructures trompeuses : un modèle bien rodé
Les chercheurs ont découvert que les attaquants utilisent le framework EvilGinx, un outil open-source spécialisé dans les attaques Adversary-in-the-Middle (AITM). Une fois les identifiants et les codes MFA interceptés, ils contournent les mesures d’authentification modernes et obtiennent un accès durable. Autre point marquant : l’infrastructure repose sur des domaines nationaux (ccTLD) qui imitent de façon crédible les portails officiels de ConnectWise/ScreenConnect.
Ces faux sites affichent des conventions de nommage cohérentes depuis plusieurs années, signe d’une organisation bien structurée. Face à une telle sophistication, Mimecast recommande une stratégie de défense multiniveau : renforcer les contrôles techniques, former continuellement les utilisateurs à la détection du phishing et assurer une surveillance proactive des connexions administratives.
Article basé sur un communiqué de presse reçu par la rédaction.
