Source: Microsoft Defender Security Research Team. Contexte: les chercheurs détaillent une campagne multi-étapes d’AiTM phishing évoluant vers des activités de BEC contre plusieurs organisations du secteur de l’énergie, abusant de SharePoint pour la livraison et s’appuyant sur des règles de messagerie pour la persistance et l’évasion.

Résumé opérationnel:

  • Les attaquants ont initialement exploité une identité de tiers de confiance compromise pour envoyer un lien SharePoint légitime nécessitant authentification, mimant les workflows de partage SharePoint.
  • Après clic, la chaîne a inclus une attaque AiTM (vol/usage de cookies de session) et la création de règles supprimant et marquant comme lus les emails entrants, afin de masquer l’activité.
  • Les comptes compromis ont servi à une campagne de phishing à grande échelle (>600 emails) vers contacts internes/externes et listes de distribution, sélectionnés depuis les fils récents.
  • Les opérateurs ont ensuite mené des tactiques BEC: surveillance des NDR/OOO, suppression des traces, réponses rassurantes aux doutes, puis poursuite des compromissions en chaîne via de nouveaux clics.

Détections et réponses Microsoft Defender XDR:

  • Mise en évidence d’activités AiTM et BEC (connexions et règles suspectes, envois anormaux), avec disruption automatique des attaques et Zero-hour Auto Purge (ZAP) sur les emails de la campagne.
  • Recommandations de remédiation aux clients impactés: révocation des cookies de session en plus du changement de mot de passe, annulation des modifications MFA apportées par l’attaquant, suppression des règles malveillantes.
  • Conseils de posture: maintenir MFA (Authenticator, FIDO2, CBA) mais le compléter avec Conditional Access (appareils conformes, IP de confiance, accès basé sur le risque), Security defaults, Continuous Access Evaluation, et des solutions anti-phishing avancées.

Détections/Alertes mentionnées:

  • Cloud apps/Entra/Endpoint: Stolen session cookie was used; Possible AiTM phishing attempt (Microsoft 365/Azure); Possible AiTM phishing attempt in Okta.
  • Office 365: Email messages containing malicious file removed after delivery; Email messages from a campaign removed after delivery; A potentially malicious URL click was detected; A user clicked through to a potentially malicious URL; Suspicious email sending patterns detected.
  • Defender for Cloud Apps: Suspicious inbox manipulation rule; Impossible travel activity; Activity from infrequent country; Suspicious email deletion activity.
  • Microsoft Entra ID Protection: Anomalous Token; Unfamiliar sign-in properties; Unfamiliar sign-in properties for session cookies.
  • Microsoft Defender XDR: BEC-related credential harvesting attack; Suspicious phishing emails sent by BEC-related user.

IOCs:

  • IP d’infrastructure attaquante: 178.130.46.8; 193.36.221.10

TTPs clés 🧰:

  • Abus de SharePoint/OneDrive pour héberger/livrer des liens et charges de phishing.
  • AiTM avec vol/rejeu de cookies de session pour contourner la MFA.
  • Création de règles de boîte (suppression/marquage comme lus) pour persister et masquer les traces.
  • Phishing latéral et externe à grande échelle via contacts et listes.
  • Techniques BEC: surveillance des retours (NDR/OOO), réponse aux doutes pour crédibiliser, suppression des preuves.
  • Altération de la MFA (p. ex. ajout de politique OTP) pour maintenir l’accès.

Hunting (exemples fournis):

  • AHQ#1 – Phishing Campaign: EmailEvents filtrant sur un objet contenant NEW PROPOSAL – NDA.
  • AHQ#2 – Sign-in activity: AADSignInEventsBeta sur 7 jours pour IP commençant par 178.130.46. ou 193.36.221.

Conclusion: Il s’agit d’une analyse de menace détaillant une campagne AiTM/BEC, ses étapes, les signaux de détection multi-domaines et les actions de remédiation observées.

🧠 TTPs et IOCs détectés

TTP

[‘Abus de SharePoint/OneDrive pour héberger/livrer des liens et charges de phishing’, ‘AiTM avec vol/rejeu de cookies de session pour contourner la MFA’, ‘Création de règles de boîte (suppression/marquage comme lus) pour persister et masquer les traces’, ‘Phishing latéral et externe à grande échelle via contacts et listes’, ‘Techniques BEC: surveillance des retours (NDR/OOO), réponse aux doutes pour crédibiliser, suppression des preuves’, ‘Altération de la MFA (p. ex. ajout de politique OTP) pour maintenir l’accès’]

IOC

[‘178.130.46.8’, ‘193.36.221.10’]

🔗 Source originale : https://www.microsoft.com/en-us/security/blog/2026/01/21/multistage-aitm-phishing-bec-campaign-abusing-sharepoint/