Microsoft 365

🔍 Contexte Le 25 mai 2026, BleepingComputer relaie une alerte du FBI concernant la plateforme Kali365, un service de phishing-as-a-service (PhaaS) apparu en avril 2026 et distribué via Telegram. Cette alerte s’appuie également sur des recherches publiées par Arctic Wolf. ⚙️ Mécanisme d’attaque Kali365 exploite le flux OAuth 2.0 Device Authorization Grant de Microsoft, conçu à l’origine pour les appareils à capacités d’entrée limitées (TV connectées, imprimantes, IoT). Le processus d’attaque se déroule ainsi : ...

🏛️ Contexte Le 21 mai 2026, le FBI (Internet Crime Complaint Center) a publié une alerte publique (PSA n° I-052126-PSA) concernant une nouvelle plateforme Phishing-as-a-Service (PhaaS) nommée Kali365, observée pour la première fois en avril 2026. 🎯 Description de la menace Kali365 est une plateforme PhaaS distribuée principalement via Telegram, accessible par abonnement. Elle permet à des attaquants, y compris peu techniques, de mener des campagnes de phishing ciblant les environnements Microsoft 365. ...

🔍 Contexte Source : Google Threat Intelligence Group (GTIG), publié le 15 mai 2026 sur le blog officiel Google Cloud. L’article présente une analyse détaillée d’une campagne d’extorsion active attribuée à UNC6671, un acteur opérant sous la marque BlackFile. 🎯 Acteur et ciblage UNC6671 est actif depuis début 2026 et a ciblé des dizaines d’organisations en Amérique du Nord, Australie et Royaume-Uni. Le GTIG le distingue formellement de ShinyHunters (UNC6240), bien qu’UNC6671 ait usurpé la marque ShinyHunters dans au moins un cas pour renforcer la crédibilité de ses menaces. ...

📰 Source : The Register — Article publié le 7 avril 2026, basé sur des déclarations de Tanmay Ganacharya, VP de la recherche en sécurité chez Microsoft, et un blog technique de Microsoft publié le 7 avril 2026. Contexte Depuis le 15 mars 2026, une campagne de phishing par device code OAuth 2.0 cible des centaines d’organisations à l’échelle mondiale. Microsoft observe 10 à 15 campagnes distinctes lancées toutes les 24 heures, chacune distribuée à grande échelle avec des payloads variés et uniques, rendant la détection par signatures difficile. ...

🌐 Contexte Check Point Research (CPR) publie le 1er avril 2026 une analyse d’une campagne de password spraying active, attribuée avec une confiance modérée à un acteur lié à l’Iran, ciblant des environnements Microsoft 365 principalement au Moyen-Orient. 🎯 Cibles et portée La campagne a impacté : Plus de 300 organisations en Israël et plus de 25 aux Émirats arabes unis Un nombre limité de cibles en Europe, États-Unis, Royaume-Uni et Arabie Saoudite Les secteurs principalement visés incluent : ...

Selon Cofense Phishing Defense Center (PDC), des acteurs menaçants mènent de nouvelles campagnes de phishing en usurpant des invitations Microsoft et Google Calendar afin de dérober des identifiants, avec redirections vers de faux portails Microsoft et des indicateurs de compromission listés. Les attaquants recourent à l’usurpation d’adresse e-mail (spoofing) et à des invitations de calendrier factices imitant les designs Microsoft/Google (couleurs, boutons Outlook, format d’invitation). Des différences légères dans le domaine (ex. « Micr0soft ») ou un expéditeur « postmaster@ » falsifié sont utilisées pour paraître légitimes. Des éléments d’ingénierie sociale comme l’urgence (mot « deadline ») et des adresses expéditeur aléatoires servent à contourner les filtres et pousser au clic. ⚠️ ...

Selon la NZZ am Sonntag, une révision interne du Département fédéral des affaires étrangères (DFAE/EDA) a mis en évidence une faille dans les dispositifs de protection: des documents classés «internes» ont été stockés dans le cloud de Microsoft, malgré des règles censées empêcher l’upload de contenus sensibles. Contexte: alors que la France écarte Zoom/Teams des administrations, la Chancellerie fédérale a généralisé Microsoft 365 à quelque 54 000 postes de la Confédération. Des mécanismes de sécurité prévoient que les contenus sensibles soient étiquetés et bloqués pour tout stockage dans le cloud. Or, ces mesures ne fonctionnent que partiellement. ...

Selon CYFIRMA (publication du 16 janvier 2026), Mamba 2FA s’inscrit dans une classe de kits de phishing adversary‑in‑the‑middle (AiTM) devenue dominante dans les environnements cloud. L’outil privilégie réalisme, automatisation et échelle, en émulant fidèlement les flux d’authentification Microsoft 365, en gérant les sessions en temps quasi réel et en réduisant l’interaction utilisateur, afin de bypasser la MFA et d’industrialiser les campagnes au sein de l’écosystème PhaaS. Flux opérationnel observé et livraison: ...

Selon BleepingComputer (Bill Toulas, 19 décembre 2025), la Nigeria Police Force National Cybercrime Centre (NPF–NCCC) a arrêté trois personnes à Lagos et dans l’État d’Edo, soupçonnées d’être liées à des attaques ciblant Microsoft 365 via le service de phishing-as-a-service Raccoon0365. L’opération a été rendue possible par des renseignements fournis par Microsoft, partagés avec le NPF–NCCC via le FBI. 🚔 Le kit « Raccoon0365 » automatisait la création de fausses pages de connexion Microsoft pour le vol d’identifiants, entraînant des cas de Business Email Compromise (BEC), des fuites de données et des pertes financières dans le monde entier. Le service aurait été responsable d’au moins 5 000 compromissions de comptes Microsoft 365 dans 94 pays. Il a été perturbé en septembre par Microsoft et Cloudflare. Le lien entre cette perturbation et l’identification des suspects au Nigeria n’est pas précisé. 🎣 ...

Selon BleepingComputer, la police nigériane a interpellé trois personnes soupçonnées d’être impliquées dans des cyberattaques ciblant des comptes Microsoft 365 via le service de phishing-as-a-service Raccoon0365. 1) Contexte général La police nigériane a procédé à l’arrestation de trois individus liés à des attaques ciblées contre Microsoft 365 menées via la plateforme de phishing Raccoon0365. Ces attaques ont entraîné : des compromissions de messageries professionnelles (BEC), des violations de données, des pertes financières touchant des organisations dans le monde entier. L’opération a été rendue possible grâce à un partage de renseignements impliquant :contentReference[oaicite:0]{index=0}, le :contentReference[oaicite:1]{index=1} et la Nigeria Police Force – National Cybercrime Centre (NPF–NCCC). 2) Raccoon0365 : une plateforme de phishing industrialisée Raccoon0365 est décrit comme un phishing toolkit automatisé, capable de : générer de fausses pages de connexion Microsoft, collecter identifiants et jetons d’authentification, faciliter l’accès non autorisé aux comptes Microsoft 365. Le service a été impliqué dans : au moins 5 000 compromissions de comptes réparties sur 94 pays. La plateforme fonctionnait selon un modèle commercial, avec : vente d’accès mensuels ou trimestriels, paiements en cryptomonnaies, support via Telegram. 3) Démantèlement technique préalable En septembre dernier, Raccoon0365 avait déjà fait l’objet d’une opération de perturbation menée par :contentReference[oaicite:2]{index=2} et :contentReference[oaicite:3]{index=3}. Cette action avait conduit à : la suppression de l’infrastructure de phishing, la désactivation des pages frauduleuses hébergées sur Cloudflare. À ce stade, il n’est pas confirmé si cette opération a directement permis d’identifier les suspects arrêtés au Nigeria. 4) Les arrestations au Nigeria Les forces du NPF–NCCC ont mené des opérations à : Lagos Edo State Résultat : 3 arrestations saisie de laptops, téléphones mobiles et équipements numériques équipements reliés au schéma frauduleux après analyse forensique « Agissant sur la base de renseignements précis et exploitables, des unités du NPF–NCCC ont été déployées (…) conduisant à l’arrestation de trois suspects. » ...