Microsoft a indiqué que l'un des ordinateurs de son service client avait été compromis par Nobelium.
Et il n'est pas la seule victime, puisque l'entreprise a déclaré avoir repéré trois autres entités compromises.
Une plateforme Cloud de l’OTAN aurait été hackée
De nouvelles attaques avec des cibles américaines
Dans un post de blog publié le 25 juin, le Microsoft Threat Intelligence Center a déclaré avoir repéré de nouvelles activités provenant de Nobelium, le groupe à l'origine de l'attaque sur SolarWinds. Cette fois, leurs attaques reposent sur du brute-force et du password spraying. Le principe du password spraying est d'essayer d'accéder à plusieurs comptes en utilisant les mêmes mots de passe simultanément tandis que le brute-force se concentre sur un seul compte, sur lequel sont essayés plusieurs mots de passe.
Des méthodes qui ne semblent pas très efficaces, car Microsoft a indiqué avoir repéré peu de cibles compromises. Les attaques visaient en particulier des entités américaines, notamment des entreprises d'informatique et, comme pour leur précédente attaque, des organisations gouvernementales, des ONG et des think tanks. Quelques cibles ont également été repérées en Angleterre, en Allemagne et au Canada, pour un total de 36 pays concernés.
Un trojan présent sur un ordinateur du service client Microsoft
Cependant, durant son enquête sur ces attaques, l'entreprise s'est rendu compte avoir elle-même été prise pour cible en découvrant un cheval de Troie présent sur l'un des ordinateurs de son service client. L'appareil contenait des informations sur des clients de Microsoft, notamment leurs abonnements à des services, qui ont été utilisées par la suite par Nobelium pour du phishing.
La firme indique avoir maîtrisé rapidement la menace et que selon ses principes « Zero Trust », seul un petit nombre de ses clients a été touché, car ses employés possèdent peu de permissions concernant les informations des utilisateurs.
Source : BleepingComputer
