Un botnet de 130 000 appareils cible Microsoft 365 avec des attaques par pulvérisation de mots de passe
Un botnet constitué de plus de 130 000 appareils zombies s'attaque actuellement aux comptes Microsoft 365, en utilisant la méthode d'authentification Basic Auth encore activée sur certains tenants. Voici ce qu'il faut savoir sur cette menace.
Une attaque furtive exploitant l'authentification basique
Un nouveau rapport publié par SecurityScorecard révèle qu'un botnet de plus de 130 000 appareils compromis lance des attaques par pulvérisation de mots de passe (technique appelée password spraying) contre des comptes Microsoft 365. Cette vague d'attaques qui cible les tenants Microsoft 365 à l'échelle mondiale présente la particularité d'utiliser l'authentification Basic Auth.
Pour les attaquants, ce type d'authentification présente l'avantage de contourner l'authentification multifacteur (MFA). Il s'agit d'une porte d'entrée intéressante, notamment parce qu'elle est également susceptible de ne pas être considérée par les politiques d'accès conditionnel.
Dans le cadre de cette attaque, les cybercriminels exploitent des informations d'identification obtenues à l'aide de malwares de type infostealer. Pour rappel, ces logiciels malveillants sont conçus pour voler des données sur les appareils des victimes, notamment les identifiants enregistrés dans les navigateurs.
"Les organisations qui se fient uniquement à la surveillance des connexions interactives sont aveugles face à ces attaques. Les connexions non interactives, souvent utilisées pour l'authentification entre services, les protocoles anciens (POP, IMAP, SMTP) et les processus automatisés, ne déclenchent pas la MFA dans de nombreuses configurations.", peut-on lire dans le document de SecurityScorecard.
Cette méthode d'authentification est considérée comme obsolète, mais malgré tout, elle est toujours activée dans certains environnements. D'ailleurs, en septembre 2025, la méthode Basic Auth sera désactivée au niveau d'Exchange Online. La méthode d'authentification basée sur OAuth 2.0 est recommandée.
Les administrateurs de tenant Microsoft 365 sont invités à vérifier les journaux d'Entra ID. En effet, SecurityScorecard précise que ces journaux peuvent révéler des signes d'attaques par pulvérisation de mots de passe, notamment une hausse des connexions non interactives et des échecs de connexion depuis plusieurs adresses IP. De plus, la présence de la chaine user-agent "fasthttp" dans les journaux est un indicateur à prendre en considération.
L'utilisation de nombreuses adresses IP complique la tâche, puisqu'il n'est pas facile d'identifier les adresses IP malveillantes. De plus, une fois qu'une adresse IP est bloquée, elle peut être substituée par une autre.
Ce botnet est-il contrôlé par des cybercriminels chinois ?
Pour le moment, aucune attribution définitive n'a été définie avec certitude, quant à l'origine de ces attaques. Néanmoins, d'après le rapport de SecurityScorecard, le botnet serait lié à des cybercriminels affiliés à la Chine.
Même s'il y a 6 serveurs C2 hébergés chez le fournisseur américain Shark Tech, deux éléments permettent d'argumenter en ce sens :
- Le trafic est acheminé via UCLOUD HK, basé à Hong Kong, et CDS Global Cloud, lié à la Chine.
- Le fuseau horaire des serveurs C2 est configuré sur Asie/Shanghai
Les pirates s'appuient sur plusieurs technologies pour superviser et gérer le flux de leur botnet, notamment Apache Zookeeper, Kafka et même Zabbix. Ce botnet serait actif depuis au moins décembre 2024.
Cette menace montre l'importance de sécuriser son environnement Microsoft 365 et de surveiller les activités suspectes dans les journaux.
