Microsoft met en garde contre des attaques de pirates russes visant à voler des informations d’identification à grande échelle
- , le 27 juin 2023
- 23 h 00 min
Microsoft a révélé avoir détecté une recrudescence des attaques par vol d’informations d’identification menées par le groupe de pirates informatiques affilié à l’État russe connu sous le nom de Midnight Blizzard.
Ces intrusions, qui utilisent des services de proxy résidentiels pour masquer l’adresse IP source des attaques, visent les gouvernements, les fournisseurs de services informatiques, les ONG, la défense et les secteurs industriels critiques, a indiqué l’équipe de veille sur les menaces du géant de la technologie.
Le groupe, qui a attiré l’attention du monde entier avec la compromission de la chaîne d’approvisionnement de SolarWinds en décembre 2020, a continué à s’appuyer sur des outils invisibles dans ses attaques ciblées visant les ministères des affaires étrangères et les entités diplomatiques.
C’est un signe de leur détermination à poursuivre leurs activités malgré leur exposition, ce qui en fait un acteur particulièrement redoutable dans le domaine de l’espionnage.
« Ces attaques utilisent une variété de techniques de pulvérisation de mots de passe, de brute force et de vol de jetons », a déclaré Microsoft dans une série de tweets, ajoutant que l’acteur « a également mené des attaques de relecture de session pour obtenir un accès initial aux ressources du cloud en utilisant des sessions volées probablement acquises par le biais d’une vente illicite ».
Une intrusion réussie a permis aux pirates du renseignement militaire russe de déployer un logiciel malveillant JavaScript qui a redirigé les courriels entrants des personnes ciblées vers une adresse électronique contrôlée par les attaquants et a volé leurs listes de contacts.
« La campagne a fait preuve d’un haut niveau de préparation, en transformant rapidement le contenu des actualités en leurres pour exploiter les destinataires », a déclaré l’entreprise de cybersécurité. « Les courriels de spear-phishing contenaient des thèmes d’actualité liés à l’Ukraine, avec des lignes d’objet et des contenus reflétant des sources médiatiques légitimes ».
Plus important encore, cette activité correspondrait à une autre série d’attaques utilisant une faille de Microsoft Outlook (CVE-2023-23397), dont Microsoft a révélé qu’elle avait été utilisée par des acteurs russes dans des « attaques ciblées limitées » contre des organisations européennes.
La vulnérabilité d’escalade des privilèges a été corrigée dans le cadre des mises à jour du Patch Tuesday diffusées en mars 2023.
