Une récente découverte menée par des chercheurs d’Elastic Security a révélé une campagne de cyberattaque sophistiquée utilisant Microsoft Outlook et l’API Microsoft Graph pour voler des données.
Cette attaque repose sur un logiciel malveillant appelé FinalDraft qui permet aux attaquants de contourner les mesures de sécurité, notamment les mots de passe hachés, et d’exfiltrer des informations sensibles.
Selon le rapport, cette vague d’intrusions a été identifiée lorsqu’une série d’alertes comportementales a été détectée dans le ministère des Affaires étrangères d’un pays d’Amérique du Sud. Bien que l’origine exacte de l’intrusion reste floue, il est probable qu’elle ait commencé en novembre 2024. Ce type d’attaque est particulièrement préoccupant en raison de son potentiel d’espionnage et de la sophistication des méthodes utilisées par les cybercriminels.
Les attaquants sont parvenus à obtenir des informations d’identification réseau valides, ce qui est souvent un vecteur crucial pour des mouvements latéraux dans un réseau. La méthode d’intrusion a inclus l’utilisation d’outils légitimes de Windows, comme certutil, pour télécharger des fichiers malveillants. Parmi les éléments que les chercheurs ont mis au jour, on trouve un malware qui est capable d’exécuter du code arbitraire dans un espace d’adresse séparé, contournant à la fois les mesures de sécurité traditionnelles et exploitant l’API Graph pour dissimuler ses communications.
Les implications de ces découvertes mettent en avant la nécessité d’une vigilance accrue de la part des responsables de la sécurité informatique (RSSI). La campagne, bien que limitée dans ses premières cibles, pourrait potentiellement s’étendre à d’autres organisations. Les experts soulignent l’importance d’une surveillance continue et de la mise en œuvre de règles de sécurité adaptées pour détecter ce type de menace.
Pour protéger vos systèmes, Elastic Security a mis à disposition plusieurs règles YARA pour aider à identifier les signatures associées à FinalDraft et à Pathloader.
En conclusion, cette attaque souligne l’évolution constante des cybermenaces et l’importance cruciale de l’adaptation des stratégies de sécurité face à des approches de plus en plus ciblées et sophistiquées. Les entreprises doivent revoir et renforcer leurs défenses pour se protéger contre ce type de compromission.
Pour lire l’article complet, rendez-vous sur Le Monde Informatique.
