Selon les chercheurs de Proofpoint, les environnements Microsoft 365 et Microsoft Azure seraient actuellement ciblés par une cyberattaque massive. Les cyberattaquants ont visé des centaines de personnes ayant différents rôles opérationnels et exécutifs au sein de différentes organisations.

Proofpoint a publié aujourd’hui une alerte pour avertir la communauté des RSSI d’une attaque repérée depuis Novembre 2023 qui semble particulièrement viser les comptes Microsoft 365, mais aussi Azure.

L’attaque démarre de façon très classique par une campagne d’emailing assez ciblée sur les « Sales Director », « Account Managers », « Finance Mangers » et toute personne d’une entreprise dont le rôle porte la mention « Executive ». Ces emails embarquent des documents partagés intégrant des leurres d’hameçonnage individualisés ou des techniques de prise de contrôle de comptes Cloud (techniques ATO) avec comme objectif final d’amener l’utilisateur à divulguer ses identifications de connexion à Microsoft 365.

Une fois l’accès préliminaire obtenu, les attaquants semblent utiliser un panel sophistiqué d’outils automatisés pour naviguer à travers les applications et services « Microsoft 365 » afin de manipuler les paramètres d’authentification MFA (ils substituent leur propre application d’authentification ou leur propre numéro de téléphone), mais également réaliser des déplacements latéraux et exfiltrer fichiers et données Exchange. Ils disposeraient même d’outils permettant d’effacer les traces de leurs activités dans la messagerie Exchange.

Au passage, les chercheurs livrent quelques pistes aux RSSI et experts cybersécurité pour détecter et bloquer ces attaques. Ils invitent ainsi à surveiller la présence dans les logs de la présence d’un indicateur de compromission (reposant sur l’utilisation d’un user-agent Linux particulier), à immédiatement modifier les identifiants des comptes compromis, à imposer un changement de mots de passe régulièrement à tous les utilisateurs, et à utiliser des outils à même de mettre en évidence l’utilisation de techniques ATO (Account TakeOver, l’éditeur n’oubliant de préciser au passage offrir de tels outils avec sa solution Proofpoint TAP ATO).

L’annonce est intéressante parce qu’elle démontre une certaine sophistication et une maîtrise avancée des systèmes d’authentification des services Microsoft 365 chez les cybercriminels. Mais elle n’est pas nouvelle en soi. En tant que l’un des services les plus populaires au monde, Microsoft 365 est aussi l’un des services les plus ciblés par les hackers et cyberattaquants. D’autant que ces services regorgent de données d’entreprise de grande valeur. Pour preuve, les solutions de cybersécurité de Microsoft enregistrent et analysent quotidiennement plus de 43 mille milliards de signaux de sécurité sur ses infrastructures !

Pour en savoir plus : Community Alert: Ongoing Malicious Campaign Impacting Azure Cloud Environments | Proofpoint UK

 

À lire également :

Microsoft piraté par des hackers Russes curieux d’eux-mêmes…

Amazon va devenir l’un des plus gros clients de Microsoft 365

Microsoft domine marché de l’antivirus d’entreprise et XDR selon IDC

Microsoft sous le coup d’une investigation « Cyber » … aux US

Microsoft nie s’être fait dérober 30 millions de comptes utilisateurs

Microsoft confirme avoir bien été victime d’attaques DDoS