Le 12 janvier 2024, Microsoft a découvert que des pirates russes ont commis des incidents sur ses systèmes en novembre 2023 et ont volé des courriels à leurs équipes de direction, de cybersécurité et juridiques.
Microsoft explique maintenant que les menaces modernes ont utilisé des proxys résidentiels et des attaques par force brute « Password spraying » pour cibler un petit nombre de comptes, l’un de ces comptes étant un « Legacy, non-production test tenant account ».
Lorsque Microsoft a révélé l’incident, nombreux sont ceux qui se sont demandés si le MFA était activé sur ce compte test et comment un compte test hérité pouvait avoir suffisamment de privilèges pour se propager latéralement à d’autres comptes de l’organisation.
« En utilisant les informations obtenues lors de l’enquête de Microsoft sur Midnight Blizzard, Microsoft Threat Intelligence a identifié que le même attaquant a ciblé d’autres organisations et, dans le cadre de nos processus de notification habituels, nous avons commencé à notifier ces organisations ciblées », prévient Microsoft dans la nouvelle mise à jour.
En septembre 2023, il a également été révélé que le groupe de pirates chinois Storm-0558 avait volé 60 000 courriels sur des comptes du département d’État américain après avoir ouvert une brèche dans les serveurs de messagerie Exchange de Microsoft, basés sur le cloud, plus tôt dans l’année.
Enfin, Microsoft conseille d’utiliser des requêtes de chasse ciblées dans Microsoft Defender XDR et Microsoft Sentinel pour identifier et enquêter sur les activités suspectes.