Deux groupes de ransomware exploitent les outils Microsoft pour infiltrer les systèmes internes des entreprises. Leur stratégie combine ingénierie sociale et logiciels malveillants pour voler des données et déployer des ransomwares.
Ces derniers mois, les hackers STAC5143 et STAC5777 se sont servis des Microsoft Teams et 365 comme leviers d’attaque. Ces outils, pourtant essentiels aux communications internes, deviennent des armes redoutables entre les mains des pirates. Entre septembre et novembre 2024, Sophos a recensé 15 attaques révélant des failles exploitables dans les configurations par défaut de ces plateformes. Une situation préoccupante pour les organisations, dont les données sensibles restent menacées.
Infiltration via Microsoft Teams
Les groupes de ransomware STAC5143 et STAC5777 ne se contentent plus d’exploiter des vulnérabilités techniques. Ils misent désormais sur l’ingénierie sociale, une méthode manipulant les comportements humains.
En novembre 2024, STAC5143 a utilisé Microsoft Teams pour se faire passer pour des membres du support technique. Ces hackers contactent directement leurs cibles avec des identités fictives, comme le compte frauduleux Help Desk Manager. Une fois la confiance gagnée, ils obtiennent l’accès aux systèmes internes.
En une seule attaque, les pirates ont déployé un shell de commande. Viennent ensuite l’installation des logiciels malveillants via PowerShell et la collecte des données critiques en moins d’une heure. Le groupe s’appuie sur des outils tels que Proton VPN et des charges Python, assurant un contrôle total des machines infectées.
Spams et appels ciblés, une tactique classique
STAC5777 adopte une approche différente, mais tout aussi redoutable. Ce groupe bombarde ses cibles de messages de spam, créant un climat d’urgence. Une fois les employés sous pression, les hackers demandent un appel Teams.
Lors de cet échange, les pirates incitent leurs interlocuteurs à installer Microsoft Quick Assist, un outil légitime qu’ils détournent pour accéder aux systèmes. Cette stratégie combine technologie et manipulation psychologique.
Ces attaques visent à extraire des fichiers sensibles, collecter des identifiants et propager des logiciels malveillants. STAC5777 a notamment tenté de déployer le ransomware Black Basta, connu pour ses effets destructeurs sur les réseaux infectés.
Failles des outils Microsoft et risques croissants
Les hackers ciblent les failles intrinsèques aux outils Microsoft. Par défaut, Teams autorise les interactions avec des utilisateurs externes. Cette configuration facilite les intrusions. Sophos note également des similitudes entre les méthodes de STAC5143 et d’autres groupes comme FIN7 et Storm-1811. Ces acteurs semblent partager un manuel d’attaque, renforçant leur efficacité.
Pour contrer ces menaces, les entreprises doivent sensibiliser leurs équipes. Les employés doivent apprendre à reconnaître les tactiques de hacking, notamment les fausses urgences et les tentatives de prise de contrôle à distance. Sophos recommande d’inclure ces scénarios dans les formations en cybersécurité.
