Security

Détection des faux employés IT avec Microsoft Defender

3 min de lecture

Résumé

Microsoft a présenté des stratégies de détection pour identifier des acteurs malveillants liés à la Corée du Nord se faisant passer pour des recrues IT à distance afin d’infiltrer les organisations. Les recommandations portent sur la corrélation des signaux HR SaaS, identité, messagerie, conférence et Microsoft 365 afin que les équipes sécurité et RH puissent repérer les candidats suspects avant et après l’onboarding.

Besoin d'aide avec Security ?Parler à un expert

Introduction

Microsoft alerte les organisations sur une menace croissante : de faux employés IT à distance utilisant des identités volées ou fabriquées pour se faire embaucher et obtenir un accès légitime aux systèmes d’entreprise. Pour les équipes de sécurité qui gèrent Microsoft 365, Defender et les intégrations SaaS, le sujet est important, car l’attaque commence dans des processus RH normaux et peut rapidement devenir un incident de sécurité des identités et des données.

Nouveautés

Les dernières recommandations de Microsoft expliquent comment les défenseurs peuvent détecter cette activité sur l’ensemble du cycle de recrutement, Jasper Sleet étant cité comme exemple connu de cette tactique.

Détection avant recrutement dans Workday

Microsoft a observé une utilisation suspecte des endpoints Workday Recruiting Web Service exposés via des sites carrière externes. Les comportements clés incluent :

  • Accès répété aux endpoints API hrrecruiting/*
  • Appels aux API de candidature, de CV et de questionnaire
  • Plusieurs comptes externes présentant le même schéma d’accès répétitif
  • Activité provenant d’infrastructures connues d’acteurs malveillants

Avec le connecteur Workday de Microsoft Defender for Cloud Apps, les organisations peuvent suivre ces appels API, identifier les comptes externes et comparer l’activité au renseignement sur les menaces.

Investigation pendant la phase de recrutement

Lors des entretiens et du traitement des documents, les défenseurs doivent corréler des signaux supplémentaires tels que :

  • Échanges d’e-mails suspects avec les équipes de recrutement
  • Messages Teams externes provenant d’adresses IP ou de comptes à risque
  • Activité dans Zoom ou Cisco Webex via les connecteurs Defender for Cloud Apps
  • Activité DocuSign liée à des lettres d’offre provenant de sources suspectes

Cela aide les équipes sécurité et RH à signaler plus tôt les candidats frauduleux dans le processus.

Surveillance des identités et du SaaS après embauche

Une fois la personne embauchée, le risque augmente car l’acteur reçoit un compte légitime. Microsoft a observé des cas où les connexions Workday de nouvelles recrues et les modifications de paie provenaient d’infrastructures malveillantes connues. Après l’onboarding, les défenseurs doivent surveiller :

  • Les alertes de déplacement impossible sur les comptes de nouvelles recrues
  • Les accès via des proxies anonymes ou depuis des emplacements inhabituels
  • Les activités de recherche et de téléchargement dans Teams, SharePoint, OneDrive et Exchange Online
  • Les schémas inhabituels d’accès aux données durant les premières semaines ou les premiers mois d’emploi

Pourquoi c’est important pour les administrateurs IT

Ce n’est pas seulement un sujet RH. Une embauche frauduleuse peut contourner de nombreuses défenses périmétriques traditionnelles, car elle reçoit des identifiants valides et des accès approuvés. Les équipes de sécurité ont besoin de visibilité sur les systèmes RH, Entra ID, Microsoft 365 et les outils de collaboration tiers pour détecter ce comportement tôt.

Prochaines étapes recommandées

  • Examiner la télémétrie API Workday pour repérer une activité répétée hrrecruiting/*
  • Activer et valider les connecteurs Defender for Cloud Apps pour Workday, Zoom, Webex et DocuSign, le cas échéant
  • Rechercher des communications suspectes impliquant des candidats et des comptes externes
  • Surveiller de près les identités des nouvelles recrues pour les déplacements impossibles, l’usage de proxy et les accès Microsoft 365 anormaux
  • Coordonner les investigations RH et sécurité sur les événements d’onboarding suspects

Les organisations ayant des programmes de recrutement à distance devraient considérer les workflows de recrutement comme faisant partie de leur surface d’attaque des identités et les inclure dans leurs stratégies de threat hunting et de détection.

Besoin d'aide avec Security ?

Nos experts peuvent vous aider à implémenter et optimiser vos solutions Microsoft.

Parler à un expert

Restez informé sur les technologies Microsoft

Lire l'article original de Microsoft Defender Security Research Team and Microsoft Threat Intelligence
Microsoft DefenderWorkdayremote IT workersidentity securityDefender for Cloud Apps

Articles connexes

Security

Prévention des cyberattaques opportunistes : guide Microsoft

Microsoft exhorte les organisations à compliquer les cyberattaques opportunistes en supprimant les identifiants, en réduisant les surfaces d’attaque publiques et en standardisant des modèles de plateforme sécurisés. Ces recommandations sont particulièrement pertinentes pour les équipes exploitant Azure, Dynamics 365 et Power Platform à grande échelle, où des architectures incohérentes et des secrets exposés peuvent faciliter les mouvements latéraux des attaquants.

Security

Attaque d’usurpation Teams cross-tenant : guide

Microsoft a détaillé une chaîne d’intrusion opérée par des humains dans laquelle des attaquants utilisent des conversations Microsoft Teams cross-tenant pour usurper l’identité du support informatique et inciter les utilisateurs à accorder un accès à distance via des outils comme Quick Assist. Cette campagne est importante, car elle combine des outils légitimes de collaboration, d’assistance à distance et d’administration pour permettre le mouvement latéral, la persistance et l’exfiltration de données tout en ressemblant à une activité IT normale.

Security

Microsoft Defender predictive shielding stoppe les attaques AD

Microsoft a expliqué comment le predictive shielding de Defender peut contenir la compromission d’un domaine Active Directory en restreignant les comptes à privilèges élevés exposés avant que des attaquants ne réutilisent des identifiants volés. Cette capacité aide les équipes de sécurité à réduire les mouvements latéraux et à combler l’écart de réponse lors d’attaques d’identité rapides.

Security

Intrusion macOS Sapphire Sleet : points clés Defender

Microsoft Threat Intelligence a détaillé une campagne ciblant macOS menée par Sapphire Sleet, qui s’appuie sur l’ingénierie sociale et de fausses mises à jour logicielles plutôt que sur l’exploitation de vulnérabilités. La chaîne d’attaque repose sur l’exécution par l’utilisateur d’AppleScript et de commandes Terminal pour contourner les protections natives de macOS, ce qui rend particulièrement importantes les défenses multicouches, la sensibilisation des utilisateurs et la détection sur les endpoints.

Security

Stratégie d’inventaire cryptographique quantique

Microsoft incite les organisations à considérer l’inventaire cryptographique comme la première étape concrète vers la préparation post-quantique. L’entreprise présente un cycle continu de gestion de la posture cryptographique pour aider les équipes de sécurité à découvrir, évaluer, prioriser et corriger les risques cryptographiques dans le code, les réseaux, l’exécution et le stockage.

Security

Réponse aux incidents IA : ce que la sécurité change

Microsoft indique que les principes traditionnels de réponse aux incidents restent valables pour les systèmes d’IA, mais que les équipes doivent s’adapter aux comportements non déterministes, à des dommages plus rapides à grande échelle et à de nouvelles catégories de risques. L’entreprise souligne la nécessité d’une meilleure télémétrie IA, de plans de réponse transverses et d’une remédiation par étapes pour contenir rapidement les problèmes pendant que des correctifs à plus long terme sont développés.