Certains articles de veille peuvent faire l'objet de traduction automatique.
Microsoft mardi révélé qu’il a repoussé une cyberattaque organisée par un acteur de l’État-nation chinois ciblant deux douzaines d’organisations, dont certaines comprennent des agences gouvernementales, dans une campagne de cyberespionnage conçue pour acquérir des données confidentielles.
Les attaques, qui ont commencé le 15 mai 2023, impliquaient l’accès à des comptes de messagerie affectant environ 25 entités et un petit nombre de comptes de consommateurs individuels associés.
Le géant de la technologie a attribué la campagne à Storm-0558, la décrivant comme un groupe d’activités d’État-nation basé en Chine qui cible principalement les agences gouvernementales d’Europe occidentale.
« Ils se concentrent sur l’espionnage, le vol de données et l’accès aux informations d’identification », Microsoft a dit. « Ils sont également connus pour utiliser des logiciels malveillants personnalisés que Microsoft suit sous le nom de Cigril et Bling, pour l’accès aux informations d’identification. »
La violation aurait été détectée un mois plus tard, le 16 juin 2023, après qu’un client non identifié ait signalé l’activité anormale de messagerie à Microsoft.
Microsoft a déclaré avoir informé toutes les organisations ciblées ou compromises directement via leurs administrateurs locataires. Il n’a pas nommé les organisations et agences concernées ni le nombre de comptes susceptibles d’avoir été piratés.
L’accès aux comptes de messagerie des clients, par Redmond, a été facilité via Outlook Web Access dans Exchange Online (OWA) et Outlook.com en falsifiant des jetons d’authentification.
« L’acteur a utilisé un acquis Clé MSA forger des jetons pour accéder à OWA et Outlook.com », a-t-il expliqué. « Les clés MSA (consommateur) et les clés Azure AD (entreprise) sont émises et gérées à partir de systèmes distincts et ne doivent être valides que pour leurs systèmes respectifs.
« L’acteur a exploité un problème de validation de jeton pour se faire passer pour les utilisateurs d’Azure AD et accéder au courrier de l’entreprise. »
Bouclier contre les menaces internes : maîtriser la gestion de la posture de sécurité SaaS
Inquiet des menaces internes ? Nous avons ce qu’il vous faut! Rejoignez ce webinaire pour explorer les stratégies pratiques et les secrets de la sécurité proactive avec la gestion de la posture de sécurité SaaS.
Il n’y a aucune preuve que l’auteur de la menace a utilisé des clés Azure AD ou toute autre clé MSA pour mener les attaques. Microsoft a depuis bloqué l’utilisation de jetons signés avec la clé MSA acquise dans OWA pour atténuer l’attaque.
« Ce type d’adversaire motivé par l’espionnage cherche à abuser des informations d’identification et à accéder aux données résidant dans des systèmes sensibles », a déclaré Charlie Bell, vice-président exécutif de Microsoft Security, a dit.
La divulgation intervient plus d’un mois après que Microsoft a révélé des attaques d’infrastructures critiques montées par un collectif contradictoire chinois appelé Volt Typhoon (alias Bronze Silhouette ou Vanguard Panda) aux États-Unis.
Voir aussi :
Poster un commentaire