2023-08-03 13:28:10
Une attaque d’ingénierie sociale Microsoft Teams a récemment été menée par l’acteur menaçant russe Midnight Blizzard sur la plate-forme. L’acteur malveillant a utilisé des locataires Microsoft 365 précédemment compromis pour créer de nouveaux domaines qui apparaissent comme des entités de support technique. Sous ces déguisements, Midnight Blizzard utilise ensuite les messages Teams pour tenter de voler les informations d’identification des organisations en engageant un utilisateur et en obtenant l’approbation des invites d’authentification multifacteur (MFA).
Toutes les organisations qui utilisent Microsoft Teams sont encouragées à renforcer les pratiques de sécurité et à traiter toute demande d’authentification non initiée par l’utilisateur comme malveillante.
Selon leur dernière enquête, environ moins de 40 organisations mondiales ont été touchées par l’attaque d’ingénierie sociale de Microsoft Teams. Comme pour les attaques précédentes de ces acteurs de la menace, les organisations étaient principalement des secteurs gouvernementaux, des organisations non gouvernementales (ONG), des services informatiques, de la technologie, de la fabrication discrète et des médias. Cela a du sens, étant donné que Midnight Blizzard est un acteur de la menace russe, précédemment attribué par les gouvernements américain et britannique au service de renseignement étranger de la Fédération de Russie.
Les attaques ont eu lieu en mai 2023. Si vous vous en souvenez, un autre acteur menaçant, Storm-0558, a également causé de graves dommages aux serveurs de Microsoft à cette époque.
Midnight Blizzard, cependant, utilise de véritables informations d’identification Microsoft Teams provenant de comptes compromis pour tenter de convaincre les utilisateurs d’entrer le code dans l’invite de leur appareil. Ils le font en se faisant passer pour une équipe de support technique ou de sécurité.
Selon Microsoft, Midnight Blizzard le fait en 3 étapes :
- L’utilisateur cible peut recevoir une demande de message Microsoft Teams d’un utilisateur externe se faisant passer pour une équipe de support technique ou de sécurité.
- Si l’utilisateur cible accepte la demande de message, l’utilisateur reçoit alors un message Microsoft Teams de l’attaquant tentant de le convaincre d’entrer un code dans l’application Microsoft Authenticator sur son appareil mobile.
- Si l’utilisateur ciblé accepte la demande de message et entre le code dans l’application Microsoft Authenticator, l’auteur de la menace reçoit un jeton pour s’authentifier en tant qu’utilisateur ciblé. L’acteur accède au compte Microsoft 365 de l’utilisateur après avoir terminé le flux d’authentification.
Microsoft a publié une liste des noms de messagerie auxquels vous devez faire attention :
Indicateurs de compromis
| Indicateur | Taper | Description |
| msftprotection.onmicrosoft[.]com | Nom de domaine | Sous-domaine contrôlé par des acteurs malveillants |
| identityVerification.onmicrosoft[.]com | Nom de domaine | Sous-domaine contrôlé par des acteurs malveillants |
| comptesVerification.onmicrosoft[.]com | Nom de domaine | Sous-domaine contrôlé par des acteurs malveillants |
| azuresecuritycenter.onmicrosoft[.]com | Nom de domaine | Sous-domaine contrôlé par des acteurs malveillants |
| teamsprotection.onmicrosoft[.]com | Nom de domaine | Sous-domaine contrôlé par des acteurs malveillants |
Cependant, vous pouvez vous protéger, vous et votre organisation, contre les attaques d’ingénierie sociale Microsoft Teams en suivant ces recommandations :
Que pensez-vous de ces attaques d’ingénierie sociale Microsoft Teams ? Faites-nous savoir dans la section commentaires ci-dessous.
#Une #attaque #dingénierie #sociale #Microsoft #Teams #sest #produite #récemment #sur #plateforme
1691058792
