L’analyse de Huntress met en lumière une attaque sophistiquée où des acteurs malveillants ont utilisé des applications OAuth légitimes, telles que SigParser, pour maintenir une persistance dans les environnements Microsoft 365. Cette étude de cas révèle comment les attaquants ont employé des techniques AitM (Adversary-in-the-Middle), des proxies de datacenter, et des règles de boîte de réception pour mener des compromissions de messagerie professionnelle tout en utilisant SigParser pour collecter des informations de contact afin d’élargir leur ciblage.
L’incident a impliqué des authentifications depuis des IPs de datacenter utilisant des agents utilisateurs suspects (axios/1.8.2), la création de règles de boîte de réception pour masquer les emails, et l’installation de l’application OAuth SigParser (caffae8c-0882-4c81-9a27-d1803af53a40) pour la collecte de contacts. Les indicateurs techniques comprenaient l’utilisation de Autonomous System LLC Baxet pour les services de proxy, l’installation de Service Principal, et des impossibilités géographiques entre les emplacements des datacenters.
SigParser a montré un taux de vrais positifs de 88% avec 41 installations observées, comparé au taux de 97% d’eM Client sur plus de 28 000 installations. L’analyse démontre une efficacité de détection multi-couches, avec une surveillance des applications OAuth capturant des menaces que d’autres systèmes ont manqué dans 30% des cas.
Les IOCs et TTPs incluent :
- IPs de datacenter
- User agent : axios/1.8.2
- Application OAuth : SigParser (caffae8c-0882-4c81-9a27-d1803af53a40)
- Autonomous System : LLC Baxet
Cet article est un rapport d’incident qui vise à informer sur les méthodes d’attaque et l’efficacité des mesures de détection.
🔗 Source originale : https://www.huntress.com/blog/the-case-for-sigparser
🖴 Archive : https://web.archive.org/web/20250723181434/https://www.huntress.com/blog/the-case-for-sigparser