Microsoft warnt Teams-Benutzer vor einem neuen, von Russland unterstützten Phishing-Angriff

Microsoft hat einen neuen Credential-Phishing-Angriff gemeldet, der vom in Russland ansässigen Bedrohungsakteur Midnight Blizzard (oder NOBELIUM) organisiert wurde. Dieser jüngste Angriff zielt auf Organisationen in den Bereichen Regierung, Nichtregierungsorganisationen (NGOs), IT-Dienste, Technologie, diskrete Fertigung und Medien ab.

Laut Microsoft nutzt die Kampagne kompromittierte Microsoft 365-Konten von Kleinunternehmen, um Domänen zu registrieren, die sich als technische Supporteinheiten ausgeben. Anschließend versenden die Akteure Phishing-Köder über den Teams-Chat und geben vor, von diesen Entitäten zu stammen.

Um seinen Angriff zu erleichtern, nutzt der Täter Microsoft 365-Mandanten kleiner Unternehmen, die er bei früheren Angriffen kompromittiert hat, um seinen Social-Engineering-Angriff zu hosten und zu starten. Der Akteur benennt den kompromittierten Mandanten um, fügt eine neue Unterdomäne onmicrosoft.com hinzu und fügt dann einen neuen Benutzer hinzu, der dieser Domäne zugeordnet ist, von dem aus er die ausgehende Nachricht an den Zielmandanten senden soll.

Das Ziel besteht darin, gezielte Benutzer dazu zu verleiten , Aufforderungen zur Multifaktor-Authentifizierung (MFA) zuzustimmen , sodass die Angreifer Anmeldeinformationen stehlen können. Laut Microsoft sind bisher weltweit weniger als 40 Organisationen betroffen.

Die Teams-Plattform von Microsoft hat mit über 280 Millionen aktiven Benutzern eine bedeutende Benutzerbasis in der IT-Branche gewonnen .

Die von dieser Aktivität angegriffenen Organisationen weisen wahrscheinlich auf spezifische Spionageziele von Midnight Blizzard hin, die sich an Regierungen, Nichtregierungsorganisationen (NGOs), IT-Dienste, Technologie, diskrete Fertigung und Mediensektoren richten.

Dies zeigt die Beharrlichkeit von Midnight Blizzard bei der Verfolgung von Spionagezielen durch Social Engineering trotz wiederholter Abschaltungen . Zu ihren Techniken gehören der Diebstahl von Zugangsdaten durch Phishing und die Ausnutzung des Vertrauens zwischen Cloud-Anbietern und Kunden.

Microsoft hat die Schaddomänen abgeschaltet und überwacht die Kampagne weiterhin. Sie haben betroffene Kunden benachrichtigt, um bei der Sicherung von Umgebungen zu helfen.

Midnight Blizzard, von einigen als APT29, UNC2452 und Cozy Bear verfolgt, wurde dem russischen Geheimdienst SVR zugeschrieben. Ihre „Cyberspionagekampagnen“ konzentrieren sich typischerweise auf Regierungs-, Diplomaten- und NGO-Ziele in den USA und Europa.

Unterdessen berichtete Microsoft im Juli, dass eine Gruppe chinesischer Hacker Zugriff auf staatliche E-Mail-Konten in den USA und Europa erhalten habe. Und dann hat US-Senator Ron Wyden das Justizministerium, die Federal Trade Commission und die Cybersecurity and Infrastructure Security Agency (CISA) gebeten, den Hack von Microsoft-E-Mail-Konten zu untersuchen.

Microsoft fordert Unternehmen dringend auf, Best Practices für die Sicherheit durchzusetzen und unaufgeforderte Authentifizierungsaufforderungen als verdächtig zu behandeln.