Microsoft advierte a los usuarios de Teams sobre un nuevo ataque de phishing respaldado por Rusia

Microsoft ha informado de un nuevo ataque de phishing de credenciales organizado por el actor de amenazas con sede en Rusia conocido como Midnight Blizzard (o NOBELIUM). Este último ataque se dirige a organizaciones del gobierno, organizaciones no gubernamentales (ONG), servicios de TI, tecnología, fabricación discreta y sectores de medios.

Según Microsoft, la campaña utiliza cuentas comprometidas de Microsoft 365 pertenecientes a pequeñas empresas para registrar dominios que se hacen pasar por entidades de soporte técnico. Luego, los actores envían señuelos de phishing a través del chat de Teams, fingiendo ser de estas entidades.

Para facilitar su ataque, el actor utiliza inquilinos de Microsoft 365 propiedad de pequeñas empresas que han comprometido en ataques anteriores para alojar y lanzar su ataque de ingeniería social. El actor cambia el nombre del arrendatario comprometido, agrega un nuevo subdominio onmicrosoft.com y luego agrega un nuevo usuario asociado con ese dominio desde el cual enviar el mensaje saliente al arrendatario de destino.

El objetivo es engañar a los usuarios objetivo para que aprueben las solicitudes de autenticación multifactor (MFA) , lo que permite a los atacantes robar las credenciales de inicio de sesión. Microsoft dice que menos de 40 organizaciones en todo el mundo se han visto afectadas hasta ahora.

La plataforma Teams de Microsoft ha ganado una importante base de usuarios en la industria de TI, con más de 280 millones de usuarios activos .

Las organizaciones a las que se dirige esta actividad probablemente indiquen objetivos de espionaje específicos de Midnight Blizzard dirigidos a sectores gubernamentales, organizaciones no gubernamentales (ONG), servicios de TI, tecnología, fabricación discreta y medios.

Esto muestra la persistencia de Midnight Blizzard en la búsqueda de objetivos de espionaje a través de la ingeniería social a pesar de los repetidos derribos . Sus técnicas incluyen el robo de credenciales a través del phishing y la explotación de la confianza entre los proveedores de la nube y los clientes.

Microsoft ha desactivado los dominios maliciosos y continúa monitoreando la campaña. Han notificado a los clientes afectados para ayudar a proteger los entornos.

Midnight Blizzard, rastreado por algunos como APT29, UNC2452 y Cozy Bear, ha sido atribuido a la agencia de inteligencia SVR de Rusia. Sus “campañas de ciberespionaje” generalmente se enfocan en objetivos gubernamentales, diplomáticos y de ONG en los EE. UU. y Europa.

Mientras tanto, Microsoft informó en julio que un grupo de piratas informáticos chinos obtuvo acceso a cuentas de correo electrónico gubernamentales en los EE. UU. y Europa. Y luego, el senador estadounidense Ron Wyden solicitó al Departamento de Justicia, la Comisión Federal de Comercio y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) que investiguen el pirateo de las cuentas de correo electrónico de Microsoft.

Microsoft insta a las organizaciones a aplicar las mejores prácticas de seguridad y tratar las solicitudes de autenticación no solicitadas como sospechosas.