Selon Trend Micro, des cybercriminels et acteurs étatiques détournent les fonctionnalités légitimes de Microsoft Power Automate pour mener des opérations discrètes, profitant de l’essor de l’automatisation et de lacunes de visibilité dans les environnements Microsoft 365.
• Constat principal : des fonctionnalités natives et connecteurs de Power Automate sont utilisées pour des activités de Living off the Land, facilitant la fuite de données, la persistance, le contournement des contrôles, le Business Email Compromise (BEC), le soutien à des campagnes de ransomware et des opérations d’espionnage.
• Techniques mises en avant : exploitation de l’écosystème de connecteurs Office 365 et des intégrations cross‑platform pour automatiser des actions malveillantes, notamment l’exfiltration via des services externes (ex. AWS SQS), la création de surveillance par mots-clés des communications Microsoft Teams, l’automatisation d’ingénierie sociale par usurpation, et l’abus de permissions excessives dans Power Apps. Les capacités IA de l’outil renforcent l’efficacité de ces automatisations.
• Détection compliquée : la complexité de l’environnement d’automatisation et des problèmes de transparence des traces d’audit réduisent la visibilité. Sans monitoring de l’exécution des flows, analytique de comportement utilisateur (UBA) et contrôles de sécurité en couches, la détection devient difficile.
• Produits/écosystèmes concernés : Microsoft Power Automate, Microsoft 365/Office 365, Power Apps, intégrations vers des services tiers tels qu’AWS SQS.
• IOCs et TTPs :
- IOCs : aucun indiqué.
- TTPs :
- Exfiltration de données via connecteurs Office 365 vers AWS SQS
- Surveillance automatisée de Microsoft Teams par mots-clés
- Impersonation pour automatiser la fraude/ingénierie sociale
- Abus de permissions excessives dans Power Apps
- Contournement des contrôles grâce à l’intégration multi‑plateformes et aux capteurs IA
Type d’article : une analyse de menace détaillant l’abus d’outils d’automatisation légitimes et les défis de détection associés.
🧠 TTPs et IOCs détectés
TTPs
[‘Living off the Land’, ‘Data Exfiltration via Office 365 connectors to AWS SQS’, ‘Persistence’, ‘Bypassing Controls’, ‘Business Email Compromise (BEC)’, ‘Support for Ransomware Campaigns’, ‘Espionage Operations’, ‘Automated Monitoring of Microsoft Teams by Keywords’, ‘Impersonation for Social Engineering Automation’, ‘Abuse of Excessive Permissions in Power Apps’, ‘Cross-Platform Integration for Control Evasion’, ‘Use of AI Capabilities to Enhance Automation’]
🔗 Source originale : https://www.trendmicro.com/vinfo/us/security/news/threat-landscape/complexity-and-visibility-gaps-in-power-automate