Une agence anonyme de la Federal Civilian Executive Branch (FCEB) aux États-Unis a détecté une activité de messagerie anormale à la mi-juin 2023, ce qui a conduit Microsoft à découvrir une nouvelle campagne d’espionnage liée à la Chine ciblant deux douzaines d’organisations.
Les détails proviennent d’un avis conjoint sur la cybersécurité publié par la US Cybersecurity and Infrastructure Security Agency (CISA) et le Federal Bureau of Investigation (FBI) le 12 juillet 2023.
“En juin 2023, une agence du Federal Civilian Executive Branch (FCEB) a identifié une activité suspecte dans son environnement cloud Microsoft 365 (M365)”, ont déclaré les autorités. a dit. “Microsoft a déterminé que les acteurs de la menace persistante avancée (APT) ont accédé et exfiltré des données Exchange Online Outlook non classifiées.”
Bien que le nom de l’agence gouvernementale n’ait pas été révélé, CNN et le Washington Post a rapporté qu’il s’agissait du département d’État américain, citant des personnes proches du dossier. Le département du commerce ainsi que les comptes de messagerie appartenant à un membre du Congrès, à un défenseur des droits de l’homme américain et à des groupes de réflexion américains étaient également ciblés. Le nombre d’organisations concernées aux États-Unis est estimé être à un seul chiffre.
La divulgation intervient un jour après que le géant de la technologie a attribué la campagne à un “acteur menaçant basé en Chine” émergent qu’il suit sous le nom de Storm-0558, qui cible principalement les agences gouvernementales d’Europe occidentale et se concentre sur l’espionnage et le vol de données. Les preuves recueillies jusqu’à présent montrent que l’activité malveillante a commencé un mois plus tôt avant d’être détectée.
La Chine, cependant, a rejeté les accusations selon lesquelles elle était à l’origine de l’incident de piratage, appel les États-Unis “le plus grand empire de piratage au monde et cybervoleur mondial” et qu’il est “grand temps que les États-Unis expliquent leurs activités de cyberattaque et cessent de diffuser de la désinformation pour détourner l’attention du public”.
La chaîne d’attaque impliquait que les cyberespions exploitent de faux jetons d’authentification pour accéder aux comptes de messagerie des clients à l’aide d’Outlook Web Access dans Exchange Online (OWA) et Outlook.com. Les jetons ont été falsifiés à l’aide d’une clé de signature de consommateur de compte Microsoft (MSA) acquise. La méthode exacte par laquelle la clé a été sécurisée reste floue.
Bouclier contre les menaces internes : maîtriser la gestion de la posture de sécurité SaaS
Inquiet des menaces internes ? Nous avons ce qu’il vous faut! Rejoignez ce webinaire pour explorer les stratégies pratiques et les secrets de la sécurité proactive avec la gestion de la posture de sécurité SaaS.
Storm-0558 utilise également deux outils malveillants personnalisés nommés Bling et Cigrilce dernier a été caractérisé comme un cheval de Troie qui décrypte les fichiers cryptés et les exécute directement à partir de la mémoire système afin d’éviter la détection.
La CISA a déclaré que l’agence FCEB était en mesure d’identifier la violation en tirant parti de la journalisation améliorée dans Microsoft Purview Audit, en utilisant spécifiquement le Éléments de courrier accédés action d’audit de boîte aux lettres.
L’agence recommande en outre aux organisations d’activer la journalisation Purview Audit (Premium), d’activer la journalisation d’audit unifiée Microsoft 365 (UAL), et assurez-vous que les journaux peuvent être recherchés par les opérateurs pour permettre la recherche de ce type d’activité et le différencier du comportement attendu dans l’environnement.
“Les organisations sont encouragées à rechercher des valeurs aberrantes et à se familiariser avec les modèles de base pour mieux comprendre le trafic anormal par rapport au trafic normal”, ont ajouté la CISA et le FBI.

