Microsoft affirme que des pirates informatiques liés à la Russie sont à l'origine de dizaines d'attaques

De phishing par Teams

Un groupe de piratage lié au gouvernement russe a visé des dizaines d'organisations mondiales avec une campagne visant à voler les identifiants de connexion en engageant des utilisateurs dans des discussions Microsoft Teams prétendant provenir du support technique, ont déclaré des chercheurs de Microsoft. Ces attaques d'ingénierie sociale "hautement ciblées" ont touché "moins de 40 organisations mondiales uniques" depuis fin mai, ont déclaré des chercheurs de Microsoft dans un blog, ajoutant que la société enquêtait.


Les pirates ont configuré des domaines et des comptes qui ressemblaient à un support technique et ont tenté d'engager les utilisateurs de Teams dans des discussions et de les amener à approuver les invites d'authentification multifacteur (MFA), ont déclaré les chercheurs. « Microsoft a empêché l'acteur d'utiliser les domaines et continue d'enquêter sur cette activité et de travailler pour remédier à l'impact de l'attaque », ont-ils ajouté.

Teams est la plate-forme de communication d'entreprise propriétaire de Microsoft, avec plus de 280 millions d'utilisateurs actifs, selon les états financiers de janvier de la société. Les MFA sont une mesure de sécurité largement recommandée visant à empêcher le piratage ou le vol d'informations d'identification. Le ciblage des équipes suggère que les pirates trouvent de nouvelles façons de le contourner.

Le groupe de piratage à l'origine de cette activité, connu dans l'industrie sous le nom de Midnight Blizzard ou APT29, est basé en Russie et les gouvernements britannique et américain l'ont lié au service de renseignement étranger du pays, ont déclaré les chercheurs.

« organisations ciblées dans cette activité indiquent probablement des objectifs d'espionnage spécifiques par Midnight Blizzard dirigés contre le gouvernement, les organisations non gouvernementales (ONG), les services informatiques, la technologie, la fabrication discrète et les secteurs des médias », ont-ils déclaré, sans nommer aucune des cibles.

« Cette dernière attaque, combinée à des activités passées, démontre une fois de plus l'exécution continue par Midnight Blizzard de ses objectifs en utilisant à la fois des techniques nouvelles et courantes », ont écrit les chercheurs. Midnight Blizzard est connu pour cibler de telles organisations, principalement aux États-Unis et en Europe, depuis 2018, ont-ils ajouté.

Les pirates ont utilisé des comptes Microsoft 365 déjà compromis appartenant à de petites entreprises pour créer de nouveaux domaines qui semblaient être des entités de support technique et contenaient le mot "microsoft", selon les détails du blog Microsoft. Les comptes liés à ces domaines ont ensuite envoyé des messages de phishing pour appâter les gens via Teams, ont déclaré les chercheurs.

Source : Microsoft

Et vous ?

Votre organisation a-t-elle déjà été victime d'attaques phishing par Teams ?
Que pensez-vous des mesures de protection proposées pour sécuriser Teams ?
Sont-elles déjà mises en place au sein de votre entreprise ?

Voir aussi :

Le nombre d'utilisateurs de Microsoft 365 augmente rapidement, les risques liés à son utilisation aussi, par Damien Frey, Country Manager France, chez Varonis

Les cyberattaques mondiales ont augmenté de 38 % en 2022, celles en Europe ont augmenté de 26 %, la France a connu une augmentation de 19 % des cyberattaques, selon Checkpoint

Google introduit les domaines de premier niveau .zip et .mov et suscite des préoccupations en matière de sécurité sur Internet, ils pourraient être utilisés dans des attaques par hameçonnage

Malgré le correctif de Microsoft dans son serveur de messagerie Exchange, le gouvernement US met en garde contre la "menace active qui continue de se développer" et appelle à l'action