Études de cas de l’API de sécurité Microsoft Graph V2
L’équipe Sophos MDR a identifié un utilisateur avec huit adresses IP différentes, deux chaînes d’agent utilisateur de version Chrome différentes, et Windows NT et Macintosh comme système d’exploitation dans les chaînes d’agent utilisateur, tous au sein de la même session. Ce type d’action est généralement causé par une plate-forme d’attaque de type Adversary in the middle (AITM) comme Evilginx, Modlishka ou Muraena, où les identifiants et les jetons de l’utilisateur sont capturés puis réutilisés par l’adversaire à partir d’une nouvelle adresse IP où l’attaquant se connecte à M365 avec le jeton ou les identifiants.
Après investigation approfondie, MDR a identifié six autres utilisateurs du même client qui avaient été compromis, y compris plusieurs utilisateurs avec des règles de boîte de réception avec les attributs suivants :
MarkAsRead
: Lorsque ce paramètre est correct, l’email est marqué comme lu. Les adversaires utilisent cette tactique pour aider à cacher la compromission.Name
: Nom donné à la règle de boîte de réception. Dans cette instance, l’adversaire a saisi le nom « s ». Les adversaires utilisent généralement des noms courts pour attirer le moins possible l’attention sur la règle de boîte de réception.SubjectOrBodyContainsWords
: Les adversaires peuvent utiliser l’attributSubjectOrBodyContainsWords
pour filtrer les emails à l’aide de mots-clés. Dans ce cas, l’adversaire a filtré les mots-clés, puis déplacé les emails correspondants.DeleteMessage
: Lorsque la valeurDeleteMessage
est correcte, l’email est supprimé et l’utilisateur final ignore l’existence de l’email.
En regroupant tous ces attributs, nous constatons que lorsque l’utilisateur reçoit un email dont l’objet ou le corps contient des éléments « piratés », de « phishing », « malveillants », « suspects », « frauduleux », d’«Authentification multifacteur », ou d’« usurpation », l’email est marqué comme lu puis supprimé. Ainsi, l’utilisateur ne se doute pas qu’il a été compromis.