Security

Attaques de paie Storm-2755 contre des employés canadiens

3 min de lecture

Résumé

Microsoft a détaillé une campagne Storm-2755 à motivation financière visant des employés canadiens avec des attaques de détournement de paie. L’acteur malveillant a utilisé le SEO poisoning, le malvertising et des techniques d’adversary-in-the-middle pour voler des sessions, contourner le MFA hérité et modifier les informations de dépôt direct, faisant du MFA résistant au phishing et de la surveillance des sessions des défenses essentielles.

Besoin d'aide avec Security ?Parler à un expert

Les attaques de paie Storm-2755 ciblent des employés canadiens

Introduction

Microsoft Incident Response a publié de nouvelles conclusions sur Storm-2755, un acteur malveillant menant des attaques dites de payroll pirate contre des utilisateurs canadiens. Pour les équipes IT et de sécurité, cette campagne est notable car elle combine SEO poisoning, malvertising et phishing adversary-in-the-middle (AiTM) pour détourner des sessions authentifiées et rediriger les paiements de salaire des employés.

Cela dépasse le cadre du Canada : ces techniques peuvent être réutilisées contre toute organisation qui s’appuie sur Microsoft 365 et sur des plateformes RH ou de paie en ligne.

Nouveautés

Microsoft indique que Storm-2755 a utilisé une chaîne d’attaque distincte axée sur un ciblage géographique étendu des utilisateurs canadiens, plutôt que sur un seul secteur d’activité.

Principales techniques observées

  • Le SEO poisoning et le malvertising ont dirigé les victimes vers des domaines contrôlés par les attaquants à partir de recherches comme « Office 365 » et de fautes de frappe similaires.
  • Les victimes étaient envoyées vers une fausse page de connexion Microsoft 365 conçue pour voler les identifiants et les jetons de session.
  • L’acteur a utilisé des techniques AiTM pour capturer des cookies de session et des jetons OAuth, lui permettant de contourner le MFA non résistant au phishing.
  • Microsoft a observé une activité suspecte du user-agent Axios 1.7.9 et a relié ce flux à des abus connus liés à Axios, y compris des préoccupations autour de CVE-2025-27152.
  • Après l’accès, Storm-2755 a recherché des ressources liées à la paie et aux RH, puis a usurpé l’identité d’employés avec des emails tels que « Question about direct deposit. »
  • Dans certains cas, l’acteur a également créé des règles de boîte de réception pour masquer les messages contenant des termes comme « direct deposit » ou « bank ».

Impact pour les administrateurs et les organisations

Le risque le plus immédiat est une perte financière directe. Une fois un compte compromis, l’attaquant peut utiliser des sessions légitimes pour se fondre dans l’activité normale de l’entreprise, ce qui rend la détection plus difficile.

Les administrateurs doivent aussi noter que le MFA traditionnel n’est pas toujours suffisant face au vol de jetons. Comme les attaques AiTM rejouent des sessions authentifiées, les organisations qui s’appuient sur des méthodes MFA héritées peuvent rester exposées.

Ce que les équipes IT doivent faire ensuite

Microsoft recommande de prioriser les mesures d’atténuation qui réduisent le rejeu de jetons et le succès du phishing.

Actions à entreprendre

  • Déployer un MFA résistant au phishing, comme FIDO2/WebAuthn.
  • Examiner les journaux de connexion pour détecter l’erreur 50199, une continuité de session inhabituelle et une activité du user-agent Axios.
  • Surveiller les connexions non interactives répétées à des applications comme OfficeHome, Outlook, My Sign-Ins et My Profile.
  • Auditer les règles de boîte de réception pour les mots-clés liés aux opérations bancaires ou au dépôt direct.
  • Enquêter sur les accès suspects aux plateformes RH et de paie telles que Workday.
  • Révoquer les jetons de session actifs et réinitialiser les identifiants des comptes suspectés d’être compromis.
  • Sensibiliser les utilisateurs au phishing via les résultats de recherche et aux fausses pages de connexion Microsoft 365.

En résumé

Storm-2755 montre comment les campagnes de phishing modernes évoluent d’un simple vol d’identifiants vers un détournement de session avec un impact financier réel. Les organisations utilisant Microsoft 365 devraient revoir leur authentification résistante au phishing, renforcer la surveillance des comportements de connexion anormaux et coordonner les équipes sécurité et RH sur les processus de vérification des changements de paie.

Besoin d'aide avec Security ?

Nos experts peuvent vous aider à implémenter et optimiser vos solutions Microsoft.

Parler à un expert

Restez informé sur les technologies Microsoft

Lire l'article original de Microsoft Incident Response
Storm-2755AiTM phishingMicrosoft 365payroll fraudMFA

Articles connexes

Security

Vulnérabilité Android EngageSDK : millions exposés

Microsoft a révélé une grave faille de redirection d’intention dans EngageSDK, un SDK tiers pour Android, exposant potentiellement des millions d’utilisateurs de portefeuilles crypto à des fuites de données et à une élévation de privilèges. Le problème a été corrigé dans EngageSDK version 5.2.1 et illustre le risque croissant lié aux dépendances opaques de la chaîne d’approvisionnement des applications mobiles.

Security

Détournement DNS sur routeurs SOHO : alerte Microsoft

Microsoft Threat Intelligence indique que Forest Blizzard a compromis des routeurs domestiques et de petits bureaux vulnérables afin de détourner le trafic DNS et, dans certains cas, de permettre des attaques adversary-in-the-middle contre des connexions ciblées. Cette campagne est importante pour les équipes IT, car des appareils SOHO non gérés utilisés par des employés en télétravail ou en mode hybride peuvent exposer l’accès au cloud et des données sensibles, même lorsque les environnements d’entreprise restent sécurisés.

Security

Storm-1175 et Medusa ransomware ciblent le web

Microsoft Threat Intelligence avertit que Storm-1175 exploite rapidement des systèmes exposés à Internet et vulnérables pour déployer le ransomware Medusa, parfois dans les 24 heures suivant l’accès initial. L’accent mis par le groupe sur les failles récemment divulguées, les web shells, les outils RMM et les mouvements latéraux rapides rend essentiels la rapidité des correctifs, la gestion de l’exposition et la détection post-compromission pour les défenseurs.

Security

Phishing device code par IA : campagne en hausse

Microsoft Defender Security Research a détaillé une campagne de phishing à grande échelle qui abuse du flux OAuth device code à l’aide de leurres générés par IA, d’une génération dynamique de codes et d’une infrastructure backend automatisée. Cette campagne accroît le risque pour les organisations, car elle améliore le taux de réussite des attaquants, contourne les schémas de détection traditionnels et permet le vol de jetons, la persistance via des règles de boîte de réception et la reconnaissance via Microsoft Graph.

Security

Cyberattaques IA : menaces sur toute la chaîne

Microsoft avertit que les acteurs de la menace intègrent désormais l’IA sur l’ensemble du cycle de vie des cyberattaques, de la reconnaissance et du phishing au développement de malware et aux opérations post-compromission. Pour les défenseurs, cela signifie des attaques plus rapides, plus précises, des taux de réussite du phishing plus élevés et un besoin croissant de renforcer les identités, les protections MFA et la visibilité sur les surfaces d’attaque pilotées par l’IA.

Security

Webshells PHP sur Linux : évasion via cookies

Microsoft avertit que des acteurs malveillants utilisent des cookies HTTP pour contrôler des webshells PHP dans des environnements d’hébergement Linux, permettant au code malveillant de rester inactif tant que certaines valeurs de cookie ne sont pas présentes. Cette technique réduit la visibilité dans les journaux courants, favorise la persistance via des tâches cron et souligne la nécessité d’un monitoring renforcé, d’une meilleure protection web et d’une détection endpoint sur les charges de travail Linux hébergées.