Une dizaine d’environnement seraient ainsi impactés compromettant des centaines de comptes utilisateurs.

Suivi par Proofpoint depuis novembre 2023, cette campagne cible avant tout des cadres supérieurs – gestionnaires de comptes, managers, directeurs, hauts dirigeants et PDG d’entreprises – par des leurres individualisés dans des documents partagés. Une stratégie qui indique clairement la volonté des attaquants de compromettre des comptes avec différents niveaux d’accès et de responsabilité au sein des organisations visées.

Grâce à l’analyse des modèles comportementaux et des techniques employées, les chercheurs ont pu identifier des indicateurs de compromission (IOC) spécifiques associés à cette campagne dont l’utilisation d’un agent utilisateur Linux distinct pour accéder à l’application d’ouverture de session « OfficeHome » ainsi qu’à d’autres applications natives de Microsoft365 non-autorisées.

« Dans de telles situations, une compromission initiale conduit bien souvent à une séquence d’activités non autorisées telles que la manipulation MFA, l’exfiltration de données, l’hameçonnage en interne et en externe, la fraude financière ou encore l’abus des règles dans les boîtes de réception pour supprimer leur trace » alertent les chercheurs Proofpoint. À cet égard, ils conseillent de renforcer les systèmes de sécurité en place, et de surveiller les chaînes à risque pour d’identifier et remédier à toutes activités suspectes.