Microsoft a d\u00e9clar\u00e9 jeudi que les acteurs de la menace parrain\u00e9s par l’\u00c9tat russe et responsables d’une cyberattaque contre ses syst\u00e8mes fin novembre 2023 ciblaient d’autres organisations et qu’il commen\u00e7ait actuellement \u00e0 les informer.<\/p>\n
Cette \u00e9volution intervient un jour apr\u00e8s que Hewlett Packard Enterprise (HPE) a r\u00e9v\u00e9l\u00e9 avoir \u00e9t\u00e9 victime d’une attaque perp\u00e9tr\u00e9e par une \u00e9quipe de pirates informatiques identifi\u00e9e comme APT29<\/strong>\u00e9galement connu sous les noms de BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard (anciennement Nobelium) et The Dukes.<\/p>\n “Cet acteur malveillant est connu pour cibler principalement les gouvernements, les entit\u00e9s diplomatiques, les organisations non gouvernementales (ONG) et les fournisseurs de services informatiques, principalement aux \u00c9tats-Unis et en Europe”, a d\u00e9clar\u00e9 l’\u00e9quipe Microsoft Threat Intelligence. dit<\/a> dans un nouvel avis.<\/p>\n L\u2019objectif principal de ces missions d\u2019espionnage est de recueillir des informations sensibles pr\u00e9sentant un int\u00e9r\u00eat strat\u00e9gique pour la Russie en maintenant des positions pendant de longues p\u00e9riodes sans attirer l\u2019attention.<\/p>\n Les derni\u00e8res r\u00e9v\u00e9lations indiquent que l\u2019ampleur de la campagne pourrait avoir \u00e9t\u00e9 plus grande qu\u2019on ne le pensait auparavant. Le g\u00e9ant de la technologie n\u2019a toutefois pas r\u00e9v\u00e9l\u00e9 quelles autres entit\u00e9s \u00e9taient point\u00e9es du doigt.<\/p>\n Les op\u00e9rations d’APT29 impliquent l’utilisation de comptes l\u00e9gitimes mais compromis pour obtenir et \u00e9tendre l’acc\u00e8s au sein d’un environnement cible et passer inaper\u00e7u. Il est \u00e9galement connu pour identifier et abuser des applications OAuth pour se d\u00e9placer lat\u00e9ralement \u00e0 travers les infrastructures cloud et pour des activit\u00e9s post-compromises, telles que la collecte d’e-mails.<\/p>\n “Ils utilisent diverses m\u00e9thodes d’acc\u00e8s initial allant du vol d’informations d’identification aux attaques de la cha\u00eene d’approvisionnement, en passant par l’exploitation des environnements sur site pour migrer lat\u00e9ralement vers le cloud, et l’exploitation de la cha\u00eene de confiance des fournisseurs de services pour acc\u00e9der aux clients en aval”, a not\u00e9 Microsoft.<\/p>\n Une autre tactique notable consiste \u00e0 utiliser des comptes d’utilisateurs pirat\u00e9s pour cr\u00e9er, modifier et accorder des autorisations \u00e9lev\u00e9es aux applications OAuth qu’elles peuvent utiliser \u00e0 mauvais escient pour masquer des activit\u00e9s malveillantes. Cela permet aux acteurs malveillants de conserver l’acc\u00e8s aux applications, m\u00eame s’ils perdent l’acc\u00e8s au compte initialement compromis, a soulign\u00e9 la soci\u00e9t\u00e9.<\/p>\n Ces applications OAuth malveillantes sont finalement utilis\u00e9es pour s’authentifier aupr\u00e8s de Microsoft Exchange Online et cibler les comptes de messagerie d’entreprise Microsoft afin d’exfiltrer les donn\u00e9es int\u00e9ressantes.<\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Microsoft-met-en-garde-contre-laugmentation-des-attaques-despionnage-APT29.jpg\")
<\/a><\/center><\/div>\n