Microsoft Azure, la plateforme de cloud computing de l’entreprise américaine, a été visée par une campagne de phishing, ou hameçonnage en français, d’envergure. D’après les chercheurs de ProofPoint, l’attaque, qui a été découverte à la fin de novembre 2023, a eu un impact sur des dizaines d’espaces de travail Microsoft Azure. Des centaines de comptes ont été compromis par les cybercriminels au cours de l’opération.
À lire aussi : Microsoft désactive un outil Windows massivement détourné par les pirates
Des mails de phishing avec un lien malveillant
Pour piéger les utilisateurs, les hackers n’ont pas réinventé la roue. Ils ont en effet glissé des liens frauduleux dans des mails adressés à leurs victimes. ProofPoint a notamment identifié un courriel comprenant un lien intitulé « Voir le document ». Intriguée, la victime va cliquer sur ce lien, et c’est là que le piège se referme.
Les cybercriminels redirigent automatiquement la cible vers une page web taillée pour le phishing. Cette page va demander aux usagers de rentrer leurs informations d’identification Microsoft pour voir le document. Les pirates collectent alors les données communiquées, ce qui leur donne un accès complet au compte Azure.
Après enquête, ProofPoint s’est rendu compte que les hackers se sont concentrés sur les postes à responsabilités, comme les directeurs des ventes, les gestionnaires de comptes et les gestionnaires financiers. Par ailleurs, les pirates se sont attaqués à différents types de postes, afin d’obtenir « différents niveaux d’accès à des ressources et des responsabilités précieuses » d’une entreprise.
Des tactiques pour passer inaperçu
Après avoir obtenu les accès, les cybercriminels « téléchargent des fichiers sensibles, y compris des actifs financiers, des protocoles de sécurité internes et des informations d’identification de l’utilisateur ». Par ailleurs, ils se servent du compte compromis pour s’attaquer à d’autres membres de l’entreprise. Ce sont surtout les services des ressources humaines et des finances qui intéressent les attaquants. Ceux-ci vont s’adresser à ces services afin de réclamer de l’argent. Enfin, ProofPoint indique que les pirates couvrent leurs traces en utilisant plusieurs tactiques, comme la suppression des mails frauduleux de la boîte d’envoi ou de réception.
En parallèle, les cybercriminels se sont servis de « plusieurs proxys, services d’hébergement de données et domaines détournés » pour cacher leur véritable emplacement et s’aligner sur la position géographique de la firme visée. Une poignée d’erreurs a néanmoins pu permettre à ProofPoint de déterminer la provenance de l’attaque. Apparemment, les pirates sont « russes et nigérians », révèle le rapport.
Les services de Microsoft se retrouvent régulièrement dans le collimateur des hackers. L’été dernier, Microsoft révélait que des cyberespions chinois ont consulté les mails de plusieurs comptes Outlook grâce à une faille dans Azure. Plus récemment, ce sont les hackers russes de Midnight Blizzard qui sont parvenus à pénétrer dans les comptes de plusieurs dirigeants du groupe américain.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : ProofPoint
Un communiqué de presse de ProofPoint vaut-il une news ?
” les hackers se sont concentrés sur les postes à responsabilités, comme les directeurs des ventes, les gestionnaires de comptes et les gestionnaires financiers.”
Chez Microsoft un candidat postule au poste de directeur :
– “Vous connaissez le phishing ?” demande le recruteur
– “Non” répond le candidat
– “C’est bon. Vous êtes embauché !”