Selon Intel 471, des acteurs malveillants ont perfectionné des techniques pour contourner la multifactor authentication (MFA), avec des groupes tels que LAPSUS$ et Scattered Spider exploitant ces approches pour la prise de contrôle de comptes et l’accès initial.
Principales méthodes décrites:
- 🎣 Phishing + rejeu d’identifiants/MFA (campagnes type 0ktapus) via de faux portails pour capturer identifiants et codes MFA puis les rejouer immédiatement.
- 📲 SIM swapping pour détourner les codes SMS vers un appareil contrôlé par l’attaquant.
- 🔔 MFA fatigue / push bombing en inondant l’utilisateur de notifications push pour obtenir une approbation par lassitude.
- 🧪 Adversary-in-the-middle (AITM) avec proxy inversé (ex. Evilginx2) afin de voler tokens/cookies de session.
- 🔑 Vol de tokens OAuth (bearer) permettant un accès non autorisé sans mot de passe.
Mesures de défense mises en avant:
- Adoption d’une authentification résistante au phishing via FIDO2/WebAuthn et clés de sécurité matérielles (cryptographie à clé publique).
- Utilisation de DPoP pour OAuth (tokens contraints à l’émetteur).
- Gestionnaires de mots de passe pour la validation de domaine.
- Détection comportementale d’anomalies pour la surveillance des sessions.
IOCs et TTPs:
- TTPs: phishing crédentiel + rejeu, SIM swapping, push bombing, AITM via reverse proxy (Evilginx2), vol de tokens/cookies de session, vol de tokens OAuth (bearer).
- Outils/campagnes cités: Evilginx2, 0ktapus.
- Acteurs: LAPSUS$, Scattered Spider.
- IOCs: non fournis dans l’extrait.
Type d’article et objectif: analyse de menace synthétisant les techniques de contournement de la MFA et les contre-mesures recommandées par Intel 471.
🧠 TTPs et IOCs détectés
TTPs
phishing crédentiel + rejeu, SIM swapping, push bombing, AITM via reverse proxy (Evilginx2), vol de tokens/cookies de session, vol de tokens OAuth (bearer)
IOCs
non fournis dans l’extrait
🔗 Source originale : https://www.intel471.com/blog/how-threat-actors-bypass-multifactor-authentication