Une attaque cible les comptes emails d’utilisateurs Office 365

0

Détectée grâce aux modèles d’analyse des comportements de la solution de protection de Skyhigh Networks, un nouveau botnet « KnockKnock », source d’une cyberattaque sophistiquée sur les comptes de messagerie Office 365 Exchange Online et provenant de 16 pays à travers le monde. Celle-ci cible plus de la moitié des grandes entreprises utilisant O365. En outre, les attaquants derrière KnockKnock ont ciblé des comptes de courrier électronique automatisés non liés à une identité humaine, ceux-ci manquant souvent de politiques de sécurité avancées.

Parmi les statistiques de cette attaque :

  • Les pirates ont utilisés 63 réseaux et 83 adresses IP pour mener leurs attaques.
  • Environ 90% des tentatives de connexion provenaient de Chine. Des tentatives supplémentaires provenaient de la Russie, du Brésil, des États-Unis, de l’Argentine et de 11 autres pays.
  • Les cibles étaient principalement des fournisseurs liés à l’internet des objets (IOT) et des fournisseurs d’infrastructures, ainsi que les départements en charge de superviser l’infrastructure et l’IOT au sein de grandes entreprises de diverses industries telles que la fabrication, les services financiers, les services de santé, les produits de consommation et le secteur public.
  • La quasi-totalité des comptes ont été confirmés comme étant des comptes système « non humains » (adresse de messagerie automatisée à destination du marketing, des ventes ou de l’administratif). Étant donné que ces comptes ne sont pas liés à une identité humaine et s’appuient sur une utilisation automatisée, ils sont moins susceptibles d’être protégés contre les politiques de sécurité telles que l’authentification multi-facteurs (MFA) et la réinitialisation récurrente du mot de passe.

Lors de l’accès à un compte O365 d’entreprise, KnockKnock crée une nouvelle règle de boîte de réception, exfiltre toutes les données de la boîte de réception, déclenche une attaque de phishing et tente de propager l’infection dans l’entreprise à l’aide de cette boîte de réception contrôlée.

La campagne KnockKnock a démarré au cours du mois de mai et se poursuit toujours, le pic d’activité ayant eu lieu entre juin et août. Elle a mis l’accent sur des objectifs précis plutôt que sur un volume élevé de cibles et a touché en moyenne 5 adresses de messagerie par organisation.

About Author

Globb Security France

Leave A Reply