Résumé
Depuis août 2025, Okta Threat Intelligence suit activement un groupe d'activités à motivation financière connu sous le nom de O-UNC-034 qui utilise le social engineering auprès du personnel du service d'assistance pour prendre le contrôle de comptes et manipuler des données dans les systèmes de paie.
O-UNC-034 a été observé ciblant les employés d'organisations opérant dans différents secteurs, y compris, mais sans s'y limiter, l'éducation, la fabrication et l'industrie, le commerce de détail et les services aux consommateurs, et les produits pharmaceutiques et de santé. Il s'agit de l'un des nombreux groupes d'activités suivis par Okta Threat Intelligence et d'autres chercheurs en menaces qui ciblent les applications de RH et de paie. Les variations sur ce thème incluent l'utilisation de la publicité malveillante (O-TA-54) et du phishing AitM (STORM-2657).
L'objectif principal de O-UNC-034 est de manipuler les informations bancaires associées aux utilisateurs ciblés dans les systèmes RH et les services liés à la paie.
Cet avis détaille les tactiques, techniques et procédures (TTP) observées et fournit les indicateurs de compromission (IOC) pertinents associés à cette menace active.
Ces informations sont fournies à des fins d'information et de renseignement pour permettre aux organisations de comprendre et d'atténuer les risques posés par cette campagne.
Analyse des menaces
Le cybercriminel exploite des techniques de social engineering en se faisant passer pour des employés légitimes.
Pour l'accès initial, l'acteur malveillant a été observé en train d'initier un contact avec le service d'assistance informatique de l'entreprise cible, se faisant passer pour un employé. Ils utilisent cette usurpation d'identité pour demander des réinitialisations de mot de passe pour le compte de l'employé.
Après un événement de réinitialisation de mot de passe réussi, le cybercriminel établit une persistance en inscrivant son propre authentificateur d'authentification multifacteur au compte compromis. Le cybercriminel a été observé s'inscrivant à Okta Verify, l'authentification par appel vocal, SMS ou manipulant des questions de sécurité, ce qui lui permet de contourner l'authentification multifacteur (authentification multifacteur) ou d'autres contrôles de sécurité.
Après une compromission de compte réussie, l'acteur pivote vers des applications internes, ciblant spécifiquement :
Les applications de paie, telles que Workday, Dayforce HCM et ADPsuite. L'accès à ces systèmes est utilisé pour manipuler les informations bancaires du compte compromis.
La gestion de la relation client (CRM) et la gestion du service IT (ITSM) telles que Salesforce et ServiceNow. L'accès à ces plateformes pourrait entraîner le vol de données client exclusives, de propriété intellectuelle ou la manipulation des processus de support informatique.
Suites de collaboration et de productivité : Office 365 et Google Workspace. L'accès à ces environnements fournit une multitude d'informations, notamment des communications internes, des documents et des identifiants, ce qui facilite d'autres attaques.
L'acteur malveillant a été observé en train de tenter, et de réussir, l'authentification, à partir d'un mélange de services d'anonymisation et d'adresses IP résidentielles, tels que :
IPVANISH VPN
CYBERGHOST VPN
VPN ZENMATE
EXPRESS VPN
WINDSCRIBE VPN
STRONG VPN
ZENLAYER
Adresses IP géolocalisées au Nigeria
Plusieurs systèmes d'exploitation sont également associés à cette activité, y compris, mais sans s'y limiter :
Mac OS 14.5.0 (Sonoma)
Mac OS 15.5.0 (Sequoia)
Mac OS 13.1.0 (Ventura)
Windows 11
iOS (iPhone)
Réponse aux menaces
Ce que nous faisons
Nous participons activement aux activités suivantes pour atténuer cette menace :
Surveillance continue de l'activité des acteurs malveillants.
Fournir des conseils et une assistance aux organisations afin d'améliorer la sécurité de leurs environnements Okta et d'enquêter sur toute activité suspecte liée à des comptes potentiellement compromis.
Contrôles de protection
Recommandations
Inscrivez les utilisateurs à des authentificateurs forts tels qu’Okta FastPass, FIDO2 WebAuthn et des cartes à puce, et appliquez la résistance au phishing dans la politique.
Documentez, vulgarisez et respectez un processus standardisé pour valider l'identité des utilisateurs distants qui contactent le personnel de support informatique, et vice versa. Envisagez l'utilisation de services de vérification d'identité lorsque les utilisateurs sont bloqués hors de leurs comptes.
Nous recommandons de créer des rôles d'administrateur personnalisés pour les professionnels du service d'assistance de première ligne. Ce rôle personnalisé ne devrait pas avoir les autorisations requises pour modifier les facteurs (réinitialiser les mots de passe des utilisateurs, définir des mots de passe temporaires, ou réinitialiser ou inscrire des facteurs). Ces professionnels du service d'assistance devraient plutôt se voir accorder dans leur rôle personnalisé la permission d'émettre des codes d'accès temporaires après qu'un appelant au service d'assistance a vérifié avec succès son identité. Contrairement à un token de réinitialisation de mot de passe, un code d'accès temporaire peut être limité dans le temps (soumis à expiration), attribué à des groupes d'utilisateurs spécifiques (NB : exclure les administrateurs et autres cibles de grande valeur), chaîné à d'autres authentificateurs et soumis à des politiques d'authentification d'application qui contraignent son utilisation par terminal ou emplacement.
Les politiques d’authentification Okta peuvent également être utilisées pour restreindre l’accès aux comptes d’utilisateurs en fonction d’une série de conditions préalables configurables par le client. Nous recommandons aux administrateurs de restreindre l’accès aux applications sensibles aux terminaux qui sont gérés par les outils de gestion des terminaux et protégés par les outils de sécurité des terminaux. Pour l'accès aux applications moins sensibles, exigez des terminaux enregistrés (à l'aide d'Okta FastPass) qui présentent des indicateurs d'hygiène de base.
Refuser ou exiger un niveau d'assurance plus élevé pour les demandes provenant de réseaux rarement utilisés. Avec Okta Network Zones, l’accès peut être contrôlé par emplacement, ASN (Autonomous System Number), IP et type d’IP (qui peut identifier les mandataires d’anonymisation connus).
Les évaluations Okta Behavior and Risk peuvent être utilisées pour identifier les demandes d'accès aux applications qui s'écartent des modèles d'activité utilisateur établis précédemment. Les politiques peuvent être configurées pour effectuer une authentification renforcée ou refuser les demandes en utilisant ce contexte.
Formez les utilisateurs à identifier les indicateurs d’e-mails suspects, de sites d’hameçonnage et de techniques d’ingénierie sociale courantes utilisées par les attaquants. Facilitez le signalement des problèmes potentiels par les utilisateurs en configurant les Notifications de l'utilisateur final et le Signalement d'activité suspecte.
Adoptez une approche de « privilèges permanents nuls » pour l'accès administratif. Attribuez des Rôles d'administrateur personnalisés aux administrateurs avec les autorisations minimales requises pour les tâches quotidiennes, et exigez une double autorisation pour l'accès en flux tendu (JIT) aux rôles plus à privilèges.
Appliquez la liaison de session IP à toutes les applications administratives pour empêcher la relecture des sessions administratives volées.
Activez les Actions Protégées pour forcer la réauthentification chaque fois qu'un utilisateur administratif tente d'effectuer des actions sensibles.
Indicateurs de compromission
Les contacts de sécurité des clients d'Okta peuvent se connecter et télécharger les indicateurs de compromission depuis security.okta.com en utilisant le lien suivant :
https://security.okta.com/product/okta/help-desks-targeted-in-social-engineering-campaign-targeting-hr-applications
Une note sur le langage d’estimation
Les équipes d'Okta Threat Intelligence utilisent les termes suivants pour exprimer la probabilité, comme indiqué dans la directive 203 de la Communauté du renseignement du Bureau du directeur du renseignement national des États-Unis - Normes analytiques.
| Probabilité de survenue | Presque aucune chance | Très peu probable | Peu probable | Environ une chance égale | Probable | Fort probablement | Presque certain(ement) |
|---|---|---|---|---|---|---|---|
| Probabilité | À distance | Très improbable | Improbable | À peu près une chance sur deux | Probable | Très Probable | Presque Certain |
| Pourcentage | 1-5 % | 5 - 20 % | 20-45 % | 45-55% | 55-80 % | 80-95% | 95-99 % |
