Phishing sur Microsoft Teams : des sous-domaines onmicrosoft.com utilisés par des pirates russes !

Un groupe de pirates informatiques connu sous le nom d’APT29 (Midnight Blizzard) et lié aux services de renseignements russes est à l’origine d’une campagne d’attaques qui vise des dizaines d’entreprises et organisations partout dans le monde. Pour mener à bien ces attaques, les pirates utilisent des tenants Microsoft 365 compromis et Microsoft Teams.

D’après l’équipe Microsoft Threat Intelligence, qui est à l’origine d’un rapport au sujet de cette campagne d’attaques, les pirates cherchent à cibler des entreprises spécifiques, notamment dans le domaine de l’informatique, de l’industrie et des médias, en plus de cibler des organisations gouvernementales. Microsoft a même une idée précise du nombre de victimes : « Actuellement, notre enquête indique que cette campagne a touché moins de 40 organisations mondiales uniques. »

Pour mettre au point cette attaque, les pirates utilisent des tenants Microsoft 365 compromis lors de précédentes cyberattaques. Ceci permet aux pirates de bénéficier d’un environnement prêt à l’emploi et de créer un nouveau sous-domaine « onmicrosoft.com » (domaine par défaut sur les tenants sans domaine vérifié) laissant penser qu’il s’agit d’un support technique. Par exemple, les cybercriminels ont utilisé le domaine « teamsprotection.onmicrosoft.com ». Au total, Microsoft a identifié 5 domaines de ce type. L’objectif étant de piéger les utilisateurs finaux.

Source

Mots-clés : cybersécurité, sécurité informatique, protection des données, menaces cybernétiques, veille cyber, analyse de vulnérabilités, sécurité des réseaux, cyberattaques, conformité RGPD, NIS2, DORA, PCIDSS, DEVSECOPS, eSANTE, intelligence artificielle, IA en cybersécurité, apprentissage automatique, deep learning, algorithmes de sécurité, détection des anomalies, systèmes intelligents, automatisation de la sécurité, IA pour la prévention des cyberattaques.