Monthly Threat Report Mai 2025

Introduction

Le Monthly Threat Report by Hornetsecurity vous offre chaque mois un aperçu des tendances en cybersécurité M365, des menaces par email et des évènements marquants du domaine. Cette édition porte sur les évènements du mois d’avril 2025.

Résumé exécutif

• Protocoles d’authentification des emails : DMARC, DKIM et SPF deviennent essentiels dans l’écosystème de sécurité actuel. Le rapport de ce mois-ci propose des renseignements et des ressources sur ces protocoles.
• Exploitation des flux OAuth : des cybercriminels russes exploitent des techniques d’ingénierie sociale pour inciter les utilisateurs à accorder un accès prolonge à leurs comptes M365 via OAuth.
• Exploitation d’un jour zéro sur BeachForums : une vulnérabilité du logiciel MyBB de BeachForums a permis à des attaquants de prendre le contrôle administratif et d’exfiltrer des données avant la fermeture du site internet.
• Attaque par ransomware à Cobb County, Georgia, E-U: le groupe Qilin a cible les systèmes critiques du comte, chiffrant les données et volant de l’information sensible, perturbant les services et déclenchant une enquête fédérale.
• Attaque contre Marks & Spencer : le groupe Scattered Spider a compromis les systèmes internes a via phishing, chiffrant les données et exfiltrant les informations de paiement des clients.

Focus : Défense avec DMARC, DKIM et SPF

Les protocoles comme DMARC, DKIM et SPF jouent un rôle crucial pour assurer l’intégrité des communications par email et protéger les organisations contre les attaques. DMARC (Domain-based Message Authentication, Reporting & Conformance) permet aux propriétaires de domaines de spécifier quels mécanismes- comme SPF ou DKIM- sont utilisés pour authentifier leurs emails, tout en fournissant des capacités de rapport pour surveille et appliquer les politiques de messagerie. SPF (Sender Policy Framework) permet aux propriétaires de domaines de définir quelles adresses IP sont autorisées a envoyé des courriels en leur nom, empêchant ainsi l’envoi non autorise d’ emails malveillants. DKIM (DomainKeys Identified Mail) ajoute une couche de sécurité supplémentaire en permettant aux expéditeurs d’attacher une signature cryptographique à leurs messages, assurant que la contenue n’a pas été altérée pendant la transmission. Ces protocoles fonctionnent ensemble pour lutter contre l’usurpation d’identité et le phishing, réduisant ainsi les risques que des emails malveillants atteignent vos utilisateurs.

En mettant en œuvre ces protocoles, les organisations peuvent considérablement renforcer leur posture de sécurité en matière de messagerie et se protéger contre les menaces courantes comme le phishing et la compromission de courriels professionnels (BEC). Ils garantissent que les messages sont vérifiés avant d’être livrés, fournissant une couche de défense supplémentaire contre les attaquants pouvant se faire passer pour des expéditeurs légitimes.  Bien configurés, ces protocoles renforcent aussi la réputation de l’organisation, car les destinataires peuvent avoir confiance en l’authenticité des messages reçus. À l’inverse, ne pas mettre en place ces protections expose les entreprises à un risque accru de fraude par email et de violations de données.

Ressources supplémentaires sur DMARC

• Lisez-en plus sur Why is Email Authentication Important? 
• Vérifiez les protocoles DMARC, SKIM et SPF pour votre domaine 

Exploitation des flux de travail OAuth pour compromettre des comptes M365

En avril 2025, des acteurs malveillants russes identifiés comme UTA0352 et UTA0355 ont exploité les flux de travail OAuth 2.0 pour compromettre des comptes Microsoft 365 appartenant à des employés d’organisations œuvrant dans les domaines des droits de la personne et de l’Ukraine. Les attaquants ont initié le contact par Signal ou WhatsApp, en se faisant passer pour des responsables européens ou des diplomates ukrainiens. Ils ont ensuite invité leurs cibles à des réunions vidéo privées portant sur des enjeux liés à l’Ukraine. Une fois la communication établie, les adversaires ont envoyé des liens d’hameçonnage OAuth sous prétexte d’accorder l’accès à l’appel vidéo. Ces liens ont amené les victimes à autoriser un accès persistant à leur complète Microsoft 365, contournant ainsi les mécanismes d’authentification traditionnels.

Analyse de la chaine d’attaque :

• Accès initial : Les hackers ont établi un contact via Signal ou par WhatsApp, en se faisant passer pour des responsables de confiance afin d’établir une communication.
• Ingénierie sociale : Ils ont invité les cibles a es réunions vidéo privées, créant un sentiment d’urgence et de légitime.
• Distribution de lien malveillant : Une fois la confinas établie, ils ont envoyé des URL de phishing OAuth déguisées en liens d’accès à l’appel vidéo.
• Autorisation OAuth : Les victimes ont été invitées à fournir un code d’autorisation, permettant aux hackers un accès persistant à leurs comptes Microsoft 365.
• Exploitation : Avec cet accès autorisé, les attaquants pouvaient exfiltrer des données sensibles et potentiellement se déplacer latéralement dans l’organisation.

Exploitation d’une vulnérabilité jour zéro sur BeachForums

Même les forums de piratage populaires ne sont pas à l’abri des cyberattaques. En avril 2025, le forum de piratage notoire BeachForum a été compromis en raison d’une vulnérabilité jour zéro non corrigé dans le logiciel MyBB. Pour compliquer les choses, l’identité exacte du ou des auteurs de l’attaque demeure inconnue. Bien qu’un utilisateur nomme Momondo ait revendique l’attaque, certaines rumeurs évoquent une possible implication du FBI. 

Quelle que soit la vérité, cet incident est particulièrement significatif pour plusieurs raisons :

• BeachForum est un site internet très fréquenté par les cybercriminels pour échanger des bases de données volées. Ces fuites sont souvent utilisées pour lancer d’autres atours. Malgré de nombreuses tentatives de suppression, le site réparait constamment facilitant la revente de donne obtenue illégalement.
• Même s’il s’agit d’un forum de piratage cette brèche rappelle aux équipes de cybersécurité l’importance de ne pas négliger les mises à jour, notamment celle liée aux vulnérabilités connues. Tôt ou tard, les cybercriminels cessent de s’attaquer entre eux pour reprendre leurs offensives contre les entreprises.

Attaque par rançongiciel à Cobb County, Georgia, E-U

Le 28 avril 2025, Cobb County en Georgia, E-U, a été cible d’une attaque par ransomware menée par le groupe Qilin. Bien que l’information ne soit pas officiellement confirmée, des responsables ont déclaré que plusieurs personnes ont été directement affectées pas la fuite de leurs données. Le groupe Qilin affirme avoir 400 000 documents prêt-à-être publie si une rançon n’est pas verse. Cette tactique suivre la méthode de double extorsion bien connue utilisée par de nombreux groupes de cybercriminels. Les données volées contiendraient notamment :

• Des photos d’autopsie
• Des permis de conduire (et les renseignements associés)
• Des cartes d’assurance sociale

Bien qu’il s’agisse d’un incident local de moindre envergure, il est pertinent de le souligner pour rappeler que même si vous n’êtes pas une mégacorporation internationale, cela ne veut pas dire que vous ne pouvez pas être une cible. De nombreuses petites organisations deviennent négligentes, pensant qu’elles sont trop petites pour être visées. Malheureusement, plusieurs l’apprennent à leurs dépens.

Attaque par ransomware contre Marks & Spencer

À la fin du mois d’avril, le détaillant britannique Marks & Spencer (M&S) a été cible du groupe ransomware Scattered Spider(également connu sous le nom d’Octo Tempest). La méthode d’intrusion initiale n’a pas été rapportée, mais selon Bleeping Computer, les pirates étaient présents dans les systèmes de M/S dès février. Un fait notable est que le fichier NTDS.dit a été extrait des contrôleurs de domaine de l’entreprise. Les hackers se sont ensuite déplacés latéralement dans l’environnement informatique jusqu’à installer le logiciel DragonForce Encryptor sur les serveurs ESXi de l’organisation, ciblant directement les machines virtuelles (VM).

Le secteur du commerce de détail demeure une cible privilégiée. Cela ne concerne pas uniquement les finances d’une organisation données, mais aussi les données personnelles des clients.

Prédictions pour les mois à venir

Étant donné les types d’attaques que nous continuons d’observer, qui ciblent massivement les ressources locales ainsi que le facteur humain, nous prévoyons que les deux éléments ci-dessous resteront au centre des préoccupations de l’industrie pendant un certain temps.

Les solutions de sauvegarde et de récupération infonuagique continueront de croitre

Avec les attaques par ransomware visant les systèmes de sauvegarde locaux traditionnels, les organisations accélérant l’adoption de solutions de sauvegarde conçue pour le cloud. Ces solutions offrent une plus grande résilience grâce à un stockage immuable, permettant une récupération plus rapide et réduisant la dépendance aux sauvegardes locales potentiellement compromises.

La formation à la sensibilisions à la sécurité continuera d’évoluer pour répondre aux besoins de la main-d’œuvre moderne

La formation à la sensibilisation à la sécurité passera de séances ponctuelles à des programmes interactifs et continus. Les organisations mettront en œuvre des simulations de phishing régulières et un partage de menaces en temps réel afin de maintenir les employés informes des dernières tactiques d’attaque, renforçant ainsi une culture de vigilance face aux cybermenaces.

Recommandations mensuelles

Compte tenu de l’écosystème de menace actuel et des types d’attaques en cours, voici nos recommandations pour ce mois-ci :

• Accès sécurisé aux contrôleurs de domaine : En raison de ce qui est arrivé à M&S, il est important d’examiner la sécurité des contrôleurs de domaine locaux sur site en temps réel. Étant donné que certains contrôleurs de domaine infonuagiques sont devenus négligés par certaines organisations. Les contrôleurs de domaine non sécurisés représentent un incident en attente et un terrain fertile pour les cybercriminels. L’examen régulier de votre posture de sécurité pour ces systèmes devrait être une priorité absoute.
• Surveillance et gestion des vulnérabilités connues : Effectuez régulièrement des analyses de sécurité pour identifier et corriger les vulnérabilités logicielles de type zero-day en particulier dans les services accessibles au public. Si une vulnérabilité ne peut être corrigée immédiatement, appliquez des mesures de sécurité compensatoires appropriées.

---

À propos d’Hornetsecurity

Hornetsecurity est l’un des principaux fournisseurs mondiaux de solutions de sécurité, de conformité, de sauvegarde et de sensibilisation à la sécurité basées sur le cloud de nouvelle génération, qui aident les entreprises et les organisations de toutes tailles dans le monde entier. Son produit phare, 365 Total Protection, est la solution de sécurité en cloud pour Microsoft 365 la plus complète du marché. Poussée par l’innovation et l’excellence en matière de cybersécurité, Hornetsecurity construit un avenir numérique plus sûr et des cultures de sécurité durables grâce à son portefeuille primé. Hornetsecurity est présent dans plus de 120 pays grâce à son réseau de distribution international, de plus de 12 000 partenaires de distribution et MSP. Ses services haut de gamme sont utilisés par plus de 125 000 clients. Pour plus d’informations, visitez le site www.hornetsecurity.com.