Proofpoint, une entreprise de premier plan dans le domaine de la cybersécurité et de la conformité réglementaire, a découvert une campagne de cyberattaques de grande ampleur qui a compromis des centaines de comptes d’utilisateurs dans le monde entier, en se concentrant sur la plateforme de cloud computing Microsoft Azure. Depuis novembre 2023, cette campagne active a utilisé des techniques avancées de phishing et de détournement de comptes pour cibler spécifiquement des hauts dirigeants, y compris des directeurs des ventes, des gestionnaires de comptes et des responsables financiers. Les attaquants ont employé des leurres personnalisés au sein de documents partagés pour s’infiltrer dans des environnements d’entreprise et accéder à des ressources précieuses.
L’enquête de Proofpoint a permis d’identifier des indicateurs de compromission uniques, tels que l’utilisation d’un agent utilisateur Linux inhabituel pour accéder à l’application OfficeHome, en plus d’accès non autorisés à d’autres applications natives de Microsoft365. Après une première entrée réussie, les attaquants réalisent diverses activités post-compromission, qui comprennent la manipulation de l’authentification multifactorielle, l’exfiltration de données, le phishing interne et externe, la fraude financière et la mise en place de règles pour supprimer des preuves de leur présence malveillante.
Les cybercriminels opèrent en utilisant une infrastructure complexe qui comprend des serveurs proxy, des services d’hébergement de données et des domaines détournés. Cette configuration ne cache pas seulement leur emplacement réel, mais représente également un défi significatif pour les défenseurs qui tentent de bloquer ces activités malicieuses. Bien que Proofpoint n’ait pas lié cette campagne à un groupe spécifique de cybercriminalité, les schémas et techniques utilisés suggèrent la possible implication d’acteurs russes et nigérians, suivant des tendances observées dans des attaques précédentes ciblant des plateformes cloud.
Face à cette menace, Proofpoint recommande aux organisations d’adopter une série de mesures de protection. Celles-ci incluent la surveillance de la chaîne de l’agent utilisateur et des domaines d’origine pour détecter et atténuer les risques, le changement immédiat des identifiants pour les utilisateurs affectés, la modification périodique des mots de passe pour tous les utilisateurs, l’identification des accès non autorisés aux ressources confidentielles dans le cloud, et la mise en œuvre de politiques de correction automatique. Ces actions visent à réduire le temps de présence des attaquants dans les systèmes compromis et à minimiser les dommages potentiels.
L’alerte de Proofpoint souligne l’importance de maintenir une vigilance constante et d’adopter des pratiques de sécurité solides pour protéger les environnements cloud contre les tactiques sophistiquées des cybercriminels.
