Microsoft、ロシアが支援する新たなフィッシング攻撃についてTeamsユーザーに警告

Microsoft は、Midnight Blizzard (または NOBELIUM) として知られるロシアを拠点とする攻撃者によって組織された新たな認証情報フィッシング攻撃を報告しました。この最新の攻撃は、政府、非政府組織 (NGO)、IT サービス、テクノロジー、ディスクリート製造、メディア部門の組織を標的としています。

Microsoft によると、このキャンペーンでは、侵害された中小企業に属するMicrosoft 365 アカウントが使用され、テクニカル サポート エンティティを装ったドメインが登録されます。次に、攻撃者は、これらのエンティティからのふりをして、Teams チャット経由でフィッシング ルアーを送信します。

攻撃を容易にするために、攻撃者は、以前の攻撃で侵害した中小企業が所有する Microsoft 365 テナントを使用して、ソーシャル エンジニアリング攻撃をホストし、開始します。攻撃者は侵害されたテナントの名前を変更し、新しい onmicrosoft.com サブドメインを追加して、そのドメインに関連付けられた新しいユーザーを追加し、そこからターゲット テナントに送信メッセージを送信します。

目的は、標的となったユーザーをだまして多要素認証 (MFA) プロンプトを承認させ、攻撃者がログイン資格情報を盗めるようにすることです。Microsoft によると、これまでに影響を受けた組織は世界中で 40 未満です。

Microsoft の Teams プラットフォームは、IT 業界で重要なユーザー ベースを獲得しており、アクティブ ユーザーは 2 億 8,000 万人を超えています。

この活動の標的となっている組織は、政府、非政府組織 (NGO)、IT サービス、テクノロジー、ディスクリート製造、およびメディア部門に向けられた、Midnight Blizzard による特定のスパイ活動目的を示している可能性があります。

これは、Midnight Blizzard が度重なる削除にも関わらず、ソーシャル エンジニアリングを通じてスパイ活動の目的を追求し続けていることを示しています。彼らの手法には、フィッシング経由で資格情報を盗んだり、クラウド プロバイダーと顧客の間の信頼を悪用したりすることが含まれます。

Microsoft は悪意のあるドメインを無効にし、キャンペーンを引き続き監視しています。影響を受ける顧客に対し、安全な環境を支援するよう通知しました。

Midnight Blizzard は、APT29、UNC2452、Cozy Bear として追跡される人もおり、ロシアの SVR 諜報機関によるものであると考えられています。彼らの「サイバースパイ活動」は通常、米国とヨーロッパの政府、外交官、NGO をターゲットにしています。

一方、マイクロソフトは7月、中国のハッカー集団が米国と欧州の政府電子メールアカウントにアクセスしたと報告した。そして、ロン・ワイデン米上院議員は、司法省、連邦取引委員会、サイバーセキュリティ・インフラセキュリティ庁（CISA）に対し、Microsoft電子メールアカウントのハッキングについて調査するよう要請した。

Microsoft は、組織にセキュリティのベスト プラクティスを実施し、一方的な認証プロンプトを不審なものとして扱うよう推奨しています。