• Votre panier est vide.

  • LOGIN

Microsoft déjoue une cyberattaque chinoise visant les gouvernements d’Europe occidentale


Certains articles de veille peuvent faire l'objet de traduction automatique.


12 juil. 2023THNMenace Intel / Cyber ​​espionnage

Microsoft mardi révélé qu’il a repoussé une cyberattaque organisée par un acteur de l’État-nation chinois ciblant deux douzaines d’organisations, dont certaines comprennent des agences gouvernementales, dans une campagne de cyberespionnage conçue pour acquérir des données confidentielles.

Les attaques, qui ont commencé le 15 mai 2023, impliquaient l’accès à des comptes de messagerie affectant environ 25 entités et un petit nombre de comptes de consommateurs individuels associés.

Le géant de la technologie a attribué la campagne à Storm-0558, la décrivant comme un groupe d’activités d’État-nation basé en Chine qui cible principalement les agences gouvernementales d’Europe occidentale.

« Ils se concentrent sur l’espionnage, le vol de données et l’accès aux informations d’identification », Microsoft a dit. « Ils sont également connus pour utiliser des logiciels malveillants personnalisés que Microsoft suit sous le nom de Cigril et Bling, pour l’accès aux informations d’identification. »

La violation aurait été détectée un mois plus tard, le 16 juin 2023, après qu’un client non identifié ait signalé l’activité anormale de messagerie à Microsoft.

Microsoft a déclaré avoir informé toutes les organisations ciblées ou compromises directement via leurs administrateurs locataires. Il n’a pas nommé les organisations et agences concernées ni le nombre de comptes susceptibles d’avoir été piratés.

L’accès aux comptes de messagerie des clients, par Redmond, a été facilité via Outlook Web Access dans Exchange Online (OWA) et Outlook.com en falsifiant des jetons d’authentification.

« L’acteur a utilisé un acquis Clé MSA forger des jetons pour accéder à OWA et Outlook.com », a-t-il expliqué. « Les clés MSA (consommateur) et les clés Azure AD (entreprise) sont émises et gérées à partir de systèmes distincts et ne doivent être valides que pour leurs systèmes respectifs.

« L’acteur a exploité un problème de validation de jeton pour se faire passer pour les utilisateurs d’Azure AD et accéder au courrier de l’entreprise. »

WEBINAIRE À VENIR

Bouclier contre les menaces internes : maîtriser la gestion de la posture de sécurité SaaS

Inquiet des menaces internes ? Nous avons ce qu’il vous faut! Rejoignez ce webinaire pour explorer les stratégies pratiques et les secrets de la sécurité proactive avec la gestion de la posture de sécurité SaaS.

Joignez aujourd’hui

Il n’y a aucune preuve que l’auteur de la menace a utilisé des clés Azure AD ou toute autre clé MSA pour mener les attaques. Microsoft a depuis bloqué l’utilisation de jetons signés avec la clé MSA acquise dans OWA pour atténuer l’attaque.

« Ce type d’adversaire motivé par l’espionnage cherche à abuser des informations d’identification et à accéder aux données résidant dans des systèmes sensibles », a déclaré Charlie Bell, vice-président exécutif de Microsoft Security, a dit.

La divulgation intervient plus d’un mois après que Microsoft a révélé des attaques d’infrastructures critiques montées par un collectif contradictoire chinois appelé Volt Typhoon (alias Bronze Silhouette ou Vanguard Panda) aux États-Unis.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.

Voir aussi :

juillet 12, 2023

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)