Un botnet chinois massif de 130 000 appareils cible les comptes Microsoft 365

Un puissant botnet lié à la Chine a été détecté en train de lancer des attaques de type « password spraying » à grande échelle contre des comptes Microsoft 365, mettant les entreprises et les organisations en danger. Selon SecurityScorecard, ce botnet est alimenté par un nombre impressionnant de 130 000 appareils compromis, ce qui en fait l'une des plus grandes cybermenaces de ce type.
Table des matières
Comment fonctionne l'attaque
Ce botnet exploite les connexions non interactives et l’authentification de base, deux points faibles de la sécurité de Microsoft 365 qui permettent aux attaquants de tester les informations d’identification volées sans déclencher l’authentification multifacteur dans de nombreuses configurations.
Les connexions non interactives sont souvent utilisées pour l'authentification entre services et les protocoles hérités tels que POP, IMAP et SMTP, ce qui les rend moins surveillées par les équipes de sécurité. L'authentification de base, bien qu'elle soit déconseillée par Microsoft, est toujours active dans certains environnements, permettant la transmission d'informations d'identification en texte clair, une cible facile pour les pirates informatiques.
Le botnet récupère les noms d'utilisateur et les mots de passe volés, souvent collectés par des logiciels malveillants de vol d'informations, et les teste systématiquement sur les comptes Microsoft 365. En cas de succès, les attaquants accèdent à des données sensibles, perturbent les opérations commerciales et se déplacent latéralement au sein d'une organisation.
Pourquoi cette attaque est difficile à détecter
L’un des aspects les plus effrayants de cette attaque est son caractère furtif. Les tentatives de « password spraying » étant enregistrées dans des registres non interactifs, de nombreuses équipes de sécurité ne surveillent pas ces enregistrements de près. Cela permet aux attaquants de passer sous le radar alors qu’ils tentent systématiquement de pénétrer dans des comptes.
SecurityScorecard a également identifié des serveurs de commande et de contrôle aux États-Unis, qui communiquaient avec 130 000 appareils infectés sur une période de quatre heures. Ces appareils, qui font probablement partie d'un réseau mondial plus vaste, permettent aux attaquants d'étendre rapidement leurs opérations.
Qui se cache derrière le botnet ?
Bien que l'attaque ait été attribuée à un groupe chinois, l'attribution de l'attaque reste une enquête en cours. Cependant, ce botnet partage des caractéristiques avec des campagnes de cyberespionnage chinoises déjà identifiées.
En octobre 2024, Microsoft a signalé que plusieurs acteurs chinois de la menace utilisaient des identifiants volés lors d'une opération de diffusion de mots de passe à grande échelle. Cette campagne était associée à des réseaux compromis connus sous le nom de CovertNetwork-1658, Xlogin et Quad7.
Comment protéger votre organisation
Ce botnet ciblant activement les comptes Microsoft 365, les organisations doivent prendre des mesures immédiates pour renforcer leur sécurité :
- Désactivez l’authentification de base si elle est toujours activée dans votre environnement.
- Activez l’authentification moderne et l’authentification multifacteur pour tous les utilisateurs, en particulier pour les connexions non interactives.
- Surveillez régulièrement les journaux de connexion non interactifs pour détecter des modèles de connexion inhabituels.
- Utilisez des mots de passe forts et uniques pour éviter la diffusion de mots de passe en mettant en œuvre des politiques de mot de passe strictes et en imposant des modifications régulières.
- Déployez des solutions de sécurité des terminaux pour vous protéger contre les logiciels malveillants de vol d'informations que les pirates utilisent pour collecter des informations d'identification.
- Limitez géographiquement l’accès aux comptes Microsoft 365 si possible, en limitant les connexions en fonction des emplacements géographiques.
Réflexions finales
Le botnet de 130 000 appareils ciblant Microsoft 365 nous rappelle que les attaques par mot de passe restent l’une des plus grandes menaces de cybersécurité actuelles. De nombreuses organisations s’appuient encore sur des méthodes d’authentification obsolètes, et les attaquants continuent d’exploiter ces faiblesses.
En sécurisant de manière proactive les environnements Microsoft 365, en surveillant les activités inhabituelles et en appliquant des politiques d’authentification fortes, les entreprises peuvent réduire leur risque d’être victimes de cette attaque hautement sophistiquée.