Il s’agit d’identifier une nouvelle campagne malveillante, aujourd’hui active, qui permet de voir des compromis sur les comptes des utilisateurs dans tout le monde pour affecter les ressources de la plate-forme informatique du nouveau Microsoft Azure. Depuis Proofpoint, depuis novembre 2023, ses enquêteurs ont suivi les techniques de phishing des informations d’identification et d’appropriation des comptes par les cybercriminels pour diriger les hauts dirigeants, les directeurs de ventes, les directeurs de comptes et les responsables financiers, intermédiaires. ils sont individualisés à l’intérieur des documents partagés, avec l’objectif d’accéder aux ressources financières et aux responsabilités des différentes fonctions commerciales.
L’analyse des techniques et des comportements a permis à Proofpoint de reconnaître des indicateurs de compromis spécifiques, en particulier l’utilisation d’un agent utilisateur Linux distinct pour accéder à l’application de début de session OfficeHome, avec des accès non autorisés aux applications nationales supplémentaires. de Microsoft365.
Proofpoint garantit que les centres de données d’Azure sont compromis
Une fois que les pirates ont fait leur entrée initiale, ils ont suivi une séquence d’activités non autorisées postérieurement au compromis, comme la manipulation de l’authentification multifactorielle, l’exfiltration de données, le phishing interne et externe, la fraude financière et le règlement pour obtenir toutes les preuves. d’activité malveillante dans les zones de courrier des victimes.
L’infrastructure opérationnelle des agents consiste en divers serveurs proxy, services de stockage de données et domaines sécurisés qui, entre autres choses, aident à masquer votre emplacement actuel et créent un défi supplémentaire pour ceux qui cherchent à bloquer des activités malveillantes. Si Proofpoint n’a pas contribué à cette campagne d’un seul groupe de cybercriminalité connu, il existe la possibilité que des attaques russes et nigérianes soient impliquées, en établissant des parallélismes avec des attaques antérieures au noyau.
Afin de renforcer la défense des organisations contre cette attaque, « conviene superviser la chaîne d’agents d’utilisateur et de domaines d’origine dans les registres pour détecter et atténuer les risques potentiels, appliquer des changements immédiats de pouvoirs pour les utilisateurs compromis et spécifiques, modifier périodiquement les contraventions pour tous. « Les utilisateurs, identifient les solutions de sécurité possibles accessibles non autorisées aux recours confidentiels sur le noyau, identifient les vecteurs d’attaque initiale, ainsi que la politique de correction automatique pour réduire le temps de permanence des attaques et minimiser les dommages potentiels », a-t-il déclaré. l’équipe d’enquêteurs sur les recommandations de Proofpoint.