KnockKnock : Vague d’attaque contre les comptes Office 365

Les experts en sécurité de Skyhigh Networks ont découvert une attaque à grande échelle avec une nouvelle technique furtive, baptisée KnockKnock, qui cible les comptes Office 365.

La campagne d’infection massive, commencée depuis mai, est encore en cours. Les attaquants utilisent pour cela un petit botnet composé de 83 adresses IP réparties sur 63 réseaux dont la plupart sont enregistrés en Chine. Les attaquants ont également utilisé des botnets de 15 autres pays, dont le Brésil, la Russie, les États-Unis et la Malaisie.

Les experts ont souligné le fait que l'attaque KnockKnock a principalement été observée dans des campagnes d’attaques ciblées.

Le principe de l’attaque est le suivant : le botnet tente de se connecter à des comptes Office 365 spécifiques disposant de niveaux de privilèges élevés et n’étant pas affectés à des utilisateurs spécifiques. L’attaque se déroule de manière lente et méthodique afin de rester en dehors des seuils de vigilance d’éventuels dispositifs de surveillance réseau. Ainsi, seule une très faible proportion (<2%) des comptes sont visés et les tentatives de connexions sont limitées entre 3 et 5 tentatives afin de ne pas être détectées.

Les experts de SkyHigh ayant identifié l’attaque ont ainsi expliqué qu’il est plus facile de cibler des comptes système plutôt que des comptes ordinaires car ils ont généralement des privilèges d'accès élevés et une protection insuffisante. En particulier, on retrouve parmi les cibles potentielles :

  • Les comptes de services
  • Les comptes de tâches planifiées
  • Les comptes locaux
  • Comptes applicatifs (ex : Github, JIRA, Jenkins)
  • Comptes de mailing list

De plus, ces comptes disposent généralement d’une politique de mot de passe moins robuste et ne sont généralement pas intégrés à des mécanismes de Single Sign On (SSO) ou de Multi Factor Authentication (MFA), les rendant particulièrement vulnérables.

Une fois que les attaquants ont compromis un compte, ils créent une nouvelle règle dans la boîte de réception pour détourner tous les messages entrants. Ils redirigent ainsi ces derniers contre d’autres utilisateurs afin de les utiliser pour mener des attaques par phishing et pouvoir ainsi se déplacer de manière latérale.