Un groupe de pirates informatiques connu sous le nom d’APT29 (Midnight Blizzard) et lié aux services de renseignements russes est à l’origine d’une campagne d’attaques qui vise des dizaines d’entreprises et organisations partout dans le monde. Pour mener à bien ces attaques, les pirates utilisent des tenants Microsoft 365 compromis et Microsoft Teams.
D’après l’équipe Microsoft Threat Intelligence, qui est à l’origine d’un rapport au sujet de cette campagne d’attaques, les pirates cherchent à cibler des entreprises spécifiques, notamment dans le domaine de l’informatique, de l’industrie et des médias, en plus de cibler des organisations gouvernementales. Microsoft a même une idée précise du nombre de victimes : « Actuellement, notre enquête indique que cette campagne a touché moins de 40 organisations mondiales uniques. »
Pour mettre au point cette attaque, les pirates utilisent des tenants Microsoft 365 compromis lors de précédentes cyberattaques. Ceci permet aux pirates de bénéficier d’un environnement prêt à l’emploi et de créer un nouveau sous-domaine « onmicrosoft.com » (domaine par défaut sur les tenants sans domaine vérifié) laissant penser qu’il s’agit d’un support technique. Par exemple, les cybercriminels ont utilisé le domaine « teamsprotection.onmicrosoft.com ». Au total, Microsoft a identifié 5 domaines de ce type. L’objectif étant de piéger les utilisateurs finaux.