Les escrocs contournent le MFA Office 365 dans les attaques BEC : Microsoft

Apparemment, les chercheurs de Microsoft 365 Defender ont perturbé l’infrastructure basée sur le cloud utilisée par les escrocs derrière une récente campagne de compromission des e-mails professionnels.

Dans le cadre de cette campagne, les attaquants ont réussi à compromettre des boîtes aux lettres ciblées par hameçonnage et ont exfiltré diverses informations sensibles dans les règles de transfert de correspondance des e-mails, ce qui leur permet d’accéder aux messages concernant les transactions financières.

Selon Nick Carr, chercheur en sécurité du Microsoft Threat Intelligence Center, « L’utilisation d’une infrastructure d’attaquant hébergée dans plusieurs services Web a permis aux attaquants d’opérer de manière furtive, caractéristique des campagnes BEC. »

Il a également déclaré: « Les attaquants ont effectué des activités discrètes pour différentes adresses IP et différentes périodes, ce qui a rendu plus difficile pour les chercheurs de corréler des activités apparemment disparates en une seule opération. »

Les chercheurs de Microsoft ont révélé le flux d’attaque complet derrière un récent incident BEC, de l’accès initial aux boîtes aux lettres de la victime pour gagner en persistance et voler des données via des règles de transfert d’e-mails.

Les identifiants de connexion ont été volés via des messages de phishing qui ont redirigé les utilisateurs cibles vers des pages de destination qui semblent être comme des pages de connexion Microsoft, et leur demandent de fournir leurs informations personnelles.

Bien que les informations d’identification volées des boîtes de réception compromises soient bloquées en activant l’authentification multifacteur, la société a tout de même découvert que les attaquants utilisaient des protocoles hérités pour exfiltrer les e-mails et contourner le MFA sur les comptes Exchange Online lorsque les cibles ne parvenaient pas à désactiver l’authentification héritée.

Les attaquants ont également utilisé l’infrastructure basée sur le cloud interrompue par Microsoft pour automatiser les opérations à grande échelle.

La société a même découvert que les escrocs utilisaient l’activité BEC provenaient de plusieurs plages d’adresses IP appartenant à plusieurs fournisseurs de cloud.