Microsoft는 Teams 사용자에게 새로운 러시아 지원 피싱 공격에 대해 경고합니다.

Microsoft는 Midnight Blizzard(또는 NOBELIUM)로 알려진 러시아에 기반을 둔 위협 행위자가 조직한 새로운 자격 증명 피싱 공격을 보고했습니다 . 이 최신 공격은 정부, NGO(비정부 조직), IT 서비스, 기술, 개별 제조 및 미디어 부문의 조직을 대상으로 합니다.

Microsoft에 따르면 이 캠페인은 소기업 소유의 손상된 Microsoft 365 계정을 사용하여 기술 지원 엔터티로 위장한 도메인을 등록합니다. 그런 다음 행위자는 Teams 채팅을 통해 이러한 엔터티에서 온 것처럼 가장하여 피싱 미끼를 보냅니다.

공격을 용이하게 하기 위해 공격자는 이전 공격에서 손상된 소기업 소유의 Microsoft 365 테넌트를 사용하여 소셜 엔지니어링 공격을 호스팅하고 시작합니다. 공격자는 손상된 테넌트의 이름을 바꾸고 새 onmicrosoft.com 하위 도메인을 추가한 다음 아웃바운드 메시지를 대상 테넌트로 보낼 해당 도메인과 연결된 새 사용자를 추가합니다.

목표는 공격자가 로그인 자격 증명을 훔칠 수 있도록 대상 사용자를 속여 다단계 인증(MFA) 프롬프트를 승인하도록 하는 것입니다. 마이크로소프트는 지금까지 전 세계적으로 40개 미만의 조직이 영향을 받았다고 말했습니다.

Microsoft의 Teams 플랫폼은 IT 업계에서 2억 8천만 명 이상의 활성 사용자 와 함께 상당한 사용자 기반을 확보했습니다 .

이 활동의 ​​표적이 된 조직은 Midnight Blizzard가 정부, 비정부 조직(NGO), IT 서비스, 기술, 개별 제조 및 미디어 부문을 대상으로 하는 특정 스파이 활동 목표를 나타낼 가능성이 높습니다.

이는 Midnight Blizzard가 반복적인 제압에도 불구하고 사회 공학을 통해 첩보 목표를 추구하는 끈기를 보여줍니다 . 그들의 기술에는 피싱을 통해 자격 증명을 훔치고 클라우드 공급자와 고객 간의 신뢰를 악용하는 것이 포함됩니다.

Microsoft는 악성 도메인을 차단했으며 캠페인을 계속 모니터링하고 있습니다. 그들은 안전한 환경을 돕기 위해 영향을 받는 고객에게 알렸습니다.

일부에서 APT29, UNC2452 및 Cozy Bear로 추적하는 Midnight Blizzard는 러시아 SVR 정보국의 소행으로 여겨졌습니다. 그들의 “사이버 스파이 캠페인”은 일반적으로 미국과 유럽의 정부, 외교 및 NGO 대상에 중점을 둡니다.

한편 마이크로소프트는 지난 7월 중국 해커 그룹이 미국과 유럽의 정부 이메일 계정에 접근했다고 보고했다. 그리고 Ron Wyden 미국 상원 의원 은 법무부, 연방 무역 위원회, CISA(Cybersecurity and Infrastructure Security Agency)에 Microsoft 이메일 계정 해킹에 대한 조사를 요청했습니다 .

Microsoft는 조직이 보안 모범 사례를 시행하고 요청하지 않은 인증 프롬프트를 의심스러운 것으로 처리할 것을 촉구합니다.