Un gang de cybercriminels de Russie cible Microsoft 365, affirme Mandiant

Microsoft 365 continue d’être une cible pour le gang de cybercriminels basé en Russie connu sous le nom de Cozy Bear, selon les chercheurs de Mandiant.

Également connu sous le nom d’APT29 par certains analystes et censé être soutenu par le service de renseignement étranger russe, le gang continue de faire preuve « d’une sécurité opérationnelle exceptionnelle et de tactiques avancées ciblant Microsoft 365 », a déclaré Mandiant dans un article de blog.

Cela inclut le contournement de l’authentification multifacteur (AMF). Les cybercriminels, y compris APT29, profitent du processus d’auto-inscription à L’AMF dans Azure Active Directory de Microsoft et d’autres plates-formes, indique le rapport.

« Lorsqu’une organisation applique l’authentification multifacteur pour la première fois, la plupart des plates-formes permettent aux utilisateurs d’inscrire leur premier appareil à l’AMF lors de la prochaine connexion. Il s’agit souvent du flux de travail choisi par les organisations pour déployer l’AMF. Dans les configurations par défaut d’Azure AD et d’autres plates-formes, il n’y a pas d’application supplémentaire sur le processus d’inscription à l’AMF », déclare Mandiant. « En d’autres termes, toute personne connaissant le nom d’utilisateur et le mot de passe peut accéder au compte depuis n’importe quel endroit et n’importe quel appareil pour s’inscrire à l’AMF, en autant qu’elle soit la première personne à le faire. »

Lors d’un incident, indique le rapport, APT29 a mené une attaque par devinette de mot de passe contre une liste de boîtes de courriel qu’ils avaient obtenue d’une manière ou d’une autre. Ils ont réussi à deviner le mot de passe d’un compte qui avait été configuré, mais jamais utilisé. Étant donné que le compte était inactif, Azure AD a invité APT29 à s’inscrire à l’AMF. Une fois inscrit, l’attaquant a pu utiliser le compte pour accéder à l’infrastructure VPN de l’organisation, qui utilisait Azure AD pour l’authentification et l’AMF.

Mandiant recommande aux organisations de s’assurer que tous les comptes actifs ont au moins un appareil inscrit à l’AMF et de travailler avec leur fournisseur de plateforme pour ajouter des vérifications supplémentaires au processus d’inscription AMF.

Microsoft Azure AD a récemment déployé une fonctionnalité permettant aux organisations d’appliquer des contrôles autour d’actions spécifiques telles que l’inscription d’appareils à l’AMF, indique le rapport. À l’ aide de l’accès conditionnel, les administrateurs informatiques peuvent limiter l’enregistrement des appareils à l’AMF aux seuls emplacements approuvés, tels que le réseau interne, ou aux appareils approuvés.

Pour plus de détails, l’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected].

Articles connexes

Des pirates abusent d’OAuth pour automatiser des cyberattaques, selon Microsoft

Selon Microsoft, des acteurs malveillants utilisent à mauvais escient les applications basées sur OAuth comme outil d'automatisation d'authentification.

Le gang de rançongiciels Cuba à la recherche d’installations Veeam non corrigées

Le gang de rançongiciels Cuba a modifié sa stratégie d'attaque pour s'attaquer aux environnements informatiques qui n'ont pas corrigé une vulnérabilité récemment découverte dans les solutions de sauvegarde de Veeam Software.

Évitez l’AMF basée sur les SMS, exhorte un comité enquêtant sur les attaques réussies du gang Lapsus$

Selon un rapport du gouvernement américain, de nombreuses organisations victimes du gang d'extorsion Lapsus$ via l'échange de cartes SIM et la tromperie des employés par le biais de l'ingénierie sociale n'ont qu'eux-mêmes à blâmer pour avoir été piratés.

Des centaines de cadres tombent dans le piège des attaques d’hameçonnage sous Microsoft 365

Des cybercriminels ont récemment réussi à vaincre des comptes infonuagiques Microsoft 365 protégés par une authentification multi facteur à l'aide du kit d’hameçonnage EvilProxy, selon les chercheurs de Proofpoint.

La GRC et le FBI participent au démantèlement mondial du cyber marché criminel Genesis 

La police de 17 pays, dont le FBI et la GRC, a fermé le Genesis Market, l'un des plus grands sites Web criminels pour la vente d'informations d'identification volées et l'accès à des robots. 

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.