Botnet de 130 000 appareils attaque Microsoft 365 en utilisant Basic Auth – Que faire?
Les attaques de botnet visant les comptes Microsoft 365 sont de plus en plus courantes. Découvrez les détails de cette menace et les mesures à prendre pour s’en prémunir.
Une menace qui utilise l’authentification Basic Auth
Un récent rapport souligne qu’un botnet de plus de 130 000 appareils zombies mène des attaques par pulvérisation de mots de passe contre des comptes Microsoft 365, en exploitant l’authentification Basic Auth encore activée sur certains tenants.
Cette méthode permet aux cybercriminels de contourner l’authentification multifacteur et de s’introduire dans les systèmes.
Des signes à surveiller
Les administrateurs de tenant Microsoft 365 doivent être attentifs aux signaux d’attaques par pulvérisation de mots de passe. Une augmentation des connexions non interactives et des échecs de connexion depuis plusieurs adresses IP peut être révélatrice de ces attaques.
La présence de la chaine user-agent “fasthttp” dans les journaux est également un indicateur à prendre en considération.
Le contrôle du botnet
Même si l’attribution de ces attaques à des cybercriminels chinois n’a pas été confirmée, des éléments laissent penser que le botnet pourrait être lié à des acteurs de ce pays, en se basant sur les infrastructures utilisées et le fuseau horaire des serveurs C2.
Ce botnet, actif depuis décembre 2024, met en lumière l’importance de renforcer la sécurité des environnements Microsoft 365.
Source : www.it-connect.fr
