APT28, Fancy Bear, Strontium : quand Microsoft expose une nouvelle variante de l'exploit sous Office365 !

Le groupe Fancy Bear (APT28, Strontium) fait à nouveau des remous insécuritaires : Microsoft vient de mettre en garde contre une réminiscence de l'exploit initialement déployé en Avril 2020 et ciblant Office365. Alors que la firme californienne pointait des cyber-attaques multiples visant les élections américaines dont les campagnes battent leur plein actuellement, Fancy Bear ajouterait des nuances dans son attaque coordonnée...

 

 

"Une analyse ultérieure a révélé qu'entre septembre 2019 et juin 2020, STRONTIUM a lancé des attaques de collecte d'informations d'identification contre des dizaines de milliers de comptes dans plus de 200 organisations. Au cours des deux semaines entre le 18 août et le 3 septembre, les mêmes attaques ont visé 6 912 comptes appartenant à 28 organisations. Aucun de ces comptes n'a été compromis avec succès", est-il expliqué, au 10 Septembre dernier, par Microsoft, qui relate, par la même occasion, l'attaque par spear-phishing remontant à 2016 et qui visait, essentiellement, Hilary Clinton et son équipe de campagne proche et alentours.

 

De fin Août à début Septembre, une recrudescence d'activité a pu être observé depuis les netblock (groupement d'adresses IPs) : les plus actifs (5) ont été publiquement recensés par Microsoft. Cela aurait permis de véhiculer tout un tas d'outils ou malware malveillants via non-plus, une attaque par phishing ou spear-phishing mais via deux modes : d'une part, une attaque par brute-force et, d'autres part, une attaque "low-n-low" ou password-spray (les mots de passe les plus utilisés couramment).

Microsoft recommande :

  • Une activation de la double-authentification depuis Azure Active Directory,
  • Une veille sur les logues défaillants liés à l'authentification (échecs),
  • Sortir des sentiers battus : pour les administrateurs non-débordés, effectuer des PoCs, tester le système.

 

Nul doute que la campagne Présidentielle américaine a permis une mise en lumière sécuritaire plus accrue que d'ordinaire : gageons que ces conseils et révélations perdureront après les élections aux États-Unis... A veiller !

 

 

Source : Blog Microsoft - 10 Septembre 2020 - Strontium (APT28, Fancy Bear) : nouvelle variante de l'attaque Office365.