Fin de semaine dernière, Microsoft publiait un billet sur son blog dans lequel l’éditeur révélait la découverte d’un logiciel malveillant d’origine chinoise et présent dans une trentaine d’organisations.
Un logiciel espion a récemment accédé à des comptes de messagerie Microsoft d’environ 25 organisations (y compris des agences gouvernementales), ainsi qu’à des comptes de consommateurs liés à des personnes probablement associées à ces mêmes organisations. Microsoft a depuis travaillé avec les utilisateurs concernés. À ce stade, et en coordination avec eux, la firme de Redmond partage le maximum de détails sur les modalités d’attaque et sur l’acteur lui-même. Baptisé Storm-0558 par les chercheurs de Microsoft, l’acteur serait situé en Chine et utilise des faux jetons d’authentification pour accéder aux courriels des utilisateurs à l’aide d’une clé de signature de consommateur de compte Microsoft (MSA) acquise. Storm-0558 utilise une collection de scripts PowerShell et Python pour effectuer des appels API REST contre le service OWA Exchange Store.
Une résolution en collaboration avec la communauté
Par exemple, Storm-0558 a la capacité d’utiliser des jetons d’accès minés pour extraire des données de messagerie telles que télécharger les courriels, les pièces jointes, localiser et télécharger des conversations et, enfin, obtenir des informations sur les dossiers de messagerie. Microsoft a depuis ajouté des détections automatisées importantes pour les indicateurs de compromission connus associés à cette attaque afin de renforcer les défenses et les environnements des clients, et nous n’avons trouvé aucune preuve d’un nouvel accès. “Nous avons également travaillé en partenariat avec les agences gouvernementales concernées, telles que le DHS CISA. Nous leur sommes reconnaissants, ainsi qu’à d’autres, de collaborer avec nous pour protéger les clients concernés et résoudre le problème. Nous sommes reconnaissants envers notre communauté d’avoir réagi de manière rapide, forte et coordonnée”, peut-on lire sur le blog de Microsoft.