Des centaines de comptes Azure, le service cloud de Microsoft, auraient été compromis lors d’une violation de sécurité qui a exposé des données critiques de ses utilisateurs. L’attaque informatique, qui a touché de nombreux environnements, a ciblé des hauts dirigeants de grandes entreprises.
Selon la société de cybersécurité Proofpoint, le piratage utilise la même campagne malveillante détectée en novembre 2023, qui intègre des méthodes de vol d’identifiants par phishing et de prise de contrôle de comptes dans le cloud (CTO). Cela aiderait les attaquants à accéder à OfficeHome ainsi qu’aux applications de Microsoft 365.
Les auteurs du piratage auraient utilisé des services proxy pour contourner les restrictions géographiques et masquer leur véritable emplacement. Pour mener à bien l’attaque, les cybercriminels ont incorporé des liens dans les documents qui redirigeaient les utilisateurs vers des sites de phishing. Ces liens avaient généralement pour texte d’ancrage « Voir le document », ce qui ne soulevait pas de soupçons.
L’attaque a été soigneusement planifiée et a ciblé à la fois les employés de niveau intermédiaire et supérieur, bien que la plupart des comptes compromis appartiennent aux premiers. Selon Proofpoint, des postes tels que directeurs des ventes, directeurs de compte, directeurs financiers, vice-présidents des opérations, directeurs financiers, présidents et PDG étaient les cibles les plus courantes. Cela a permis aux attaquants d’accéder aux informations à travers les niveaux et les domaines des organisations.
Dans ce type d’attaques, une fois que le compte est compromis, les cybercriminels déploient leur propre MFA (authentification multifactorielle) pour prolonger l’accès, par exemple en ajoutant un numéro de téléphone mobile alternatif ou en configurant une application d’authentification afin que l’utilisateur ne puisse pas récupérer l’accès. De plus, les attaquants suppriment toutes les preuves d’activité suspecte pour effacer leurs traces.
L’objectif de ces cyberattaques est le vol de données et les fraudes financières. Bien qu’il n’y ait pas encore de preuves claires pour identifier les auteurs de ces attaques, on pense qu’elles ont été initiées en Russie et au Nigeria, en se basant sur l’utilisation de fournisseurs d’accès Internet à ligne fixe locaux de ces régions.
