Source: Microsoft Security Blog — Microsoft décrit l’intervention de son équipe DART pour contenir deux cyberattaques sophistiquées ciblant des organisations du secteur retail.

Les assaillants ont exploité des vulnérabilités SharePoint (CVE-2025-49706, CVE-2025-49704) pour déposer des web shells ASPX, conduisant à de la spoofing d’identité et de l’injection de code à distance. L’objectif opérationnel incluait la prise de contrôle d’identités et la persistance dans l’environnement cible. ⚠️

Pour maintenir la présence malveillante, les acteurs ont utilisé Azure Virtual Desktop, RDP, PsExec et des outils de proxy/tunneling comme Teleport et Rsocx, signe d’un enchaînement TTPs visant mobilité latérale et évasion. 🧭

La réponse DART a combiné des mesures d’identité et d’infrastructure: reprise de contrôle d’Active Directory, isolation d’Entra ID, révocation de jetons, suppression des web shells, et déploiement d’outils forensic propriétaires. L’équipe a également procédé à l’ingénierie inverse d’un ransomware ciblant des répertoires ESXi, dans le cadre de l’analyse technique. 🛡️

Les mesures techniques de mitigation mises en œuvre incluent le patching des systèmes vulnérables, des réinitialisations massives de mots de passe assorties de ré-attestation d’identité, et l’application de principes Zero Trust, soutenus par une surveillance continue.

TTPs observés:

  • Exploitation de vulnérabilités SharePoint (CVE-2025-49706, CVE-2025-49704)
  • Déploiement de web shells ASPX (exécution de code, contrôle persistant)
  • Spoofing d’identité et abus d’Azure/Entra ID (tokens, sessions)
  • Persistance et mouvement latéral via Azure Virtual Desktop, RDP, PsExec
  • Utilisation d’outils de proxy/tunneling: Teleport, Rsocx
  • Ingénierie inverse d’un ransomware ciblant des répertoires ESXi

Il s’agit d’un rapport d’incident détaillant la détection, la réponse et les mesures de confinement/assainissement mises en place par Microsoft DART.

🔗 Source originale : https://www.microsoft.com/en-us/security/blog/2025/09/24/retail-at-risk-how-one-alert-uncovered-a-persistent-cyberthreat/

🖴 Archive : https://web.archive.org/web/20250925100415/https://www.microsoft.com/en-us/security/blog/2025/09/24/retail-at-risk-how-one-alert-uncovered-a-persistent-cyberthreat/