Un botnet massif de plus de 130 000 appareils compromis mène des attaques par pulvérisation de mots de passe contre des comptes Microsoft 365 (M365) dans le monde entier, ciblant l’authentification de base pour échapper à l’authentification multifacteur.
Selon un rapport de SecurityScorecard, les attaquants exploitent les informations d’identification volées par le logiciel malveillant infostealer pour cibler les comptes à grande échelle.
Les attaques reposent sur des connexions non interactives utilisant l’authentification de base (Authentification de base) pour contourner les protections d’authentification multifacteur (MFA) et obtenir un accès non autorisé sans déclencher d’alertes de sécurité.
« Les organisations qui s’appuient uniquement sur la surveillance interactive des connexions sont aveugles à ces attaques. Les connexions non interactives, couramment utilisées pour l’authentification de service à service, les protocoles hérités (par exemple, POP, IMAP, SMTP) et les processus automatisés, ne déclenchent pas l’authentification multifacteur dans de nombreuses configurations », prévient SecurityScorecard.
« L’authentification de base, toujours activée dans certains environnements, permet de transmettre les informations d’identification sous forme simple, ce qui en fait une cible privilégiée pour les attaquants. »
L’authentification de base est une méthode d’authentification obsolète dans laquelle les informations d’identification d’un utilisateur sont envoyées sous forme codée en texte brut ou en base64 à chaque demande adressée à un serveur.
Il manque de fonctionnalités de sécurité modernes telles que MFA et l’authentification basée sur des jetons, et Microsoft prévoit de le déprécier au profit d’OAuth 2.0 en septembre 2025, l’ayant déjà désactivé pour la plupart des services Microsoft 365.
Le botnet nouvellement découvert utilise des tentatives d’authentification de base ciblant un grand nombre de comptes avec des mots de passe communs/divulgués.
Étant donné que l’authentification de base n’est pas interactive, lorsqu’il y a une correspondance avec les informations d’identification essayées, les attaquants ne sont pas invités à MFA et très souvent ne sont pas limités par les politiques d’accès conditionnel (CAP), ce qui permet aux attaquants de vérifier discrètement les informations d’identification du compte.
Une fois les informations d’identification vérifiées, elles peuvent être utilisées pour accéder aux services hérités qui ne nécessitent pas d’authentification multifacteur ou dans des attaques de phishing plus sophistiquées pour contourner la fonction de sécurité et obtenir un accès complet au compte.
SecurityScorecard souligne également que vous pourrez peut-être voir des signes d’attaques par pulvérisation de mots de passe dans les journaux d’identification Entra, qui indiqueront une augmentation des tentatives de connexion pour les connexions non interactives, plusieurs tentatives de connexion échouées à partir de différentes adresses IP et la présence de l’agent utilisateur « fasthttp » dans les journaux d’authentification.
En janvier, SpearTip a mis en garde contre les menaces qui menaient des attaques par mot de passe Microsoft 365 en utilisant la bibliothèque FastHTTP Go de la même manière, mais n’a pas mentionné les connexions non interactives. Il n’est pas clair s’il s’agit d’un développement plus récent du botnet pour échapper à la détection.
Lien possible avec des acteurs chinois de la menace
SecurityScorecard rapporte que les opérateurs du botnet sont probablement affiliés à la Chine, bien qu’il n’y ait pas encore d’attribution claire ou confiante.
Le botnet fonctionne via six serveurs primaires de commande et de contrôle (C2) hébergés par le fournisseur américain Shark Tech, tandis qu’il achemine le trafic par proxy via UCLOUD HK, basé à Hong Kong, et CDS Global Cloud, lié à la Chine.
Les serveurs C2 exécutent Apache Zookeeper et utilisent Kafka pour gérer les opérations du botnet.
Le fuseau horaire du système sur les serveurs C2 est défini sur Asie / Shanghai, tandis que leurs heures de disponibilité indiquent que le botnet est actif depuis au moins décembre 2024.
Le botnet utilise plus de 130 000 appareils compromis pour répartir les tentatives de connexion sur différentes adresses IP, ce qui permet d’éviter d’être signalé pour une activité suspecte et bloqué.
Les organisations doivent désactiver l’authentification de base dans Microsoft 365, bloquer les adresses IP répertoriées dans le rapport, activer CAPs pour restreindre les tentatives de connexion et utiliser MFA sur tous les comptes.