Microsoft waarschuwt Teams-gebruikers voor nieuwe door Rusland gesteunde phishing-aanval

Microsoft heeft een nieuwe credential phishing-aanval gemeld , georganiseerd door de in Rusland gevestigde bedreigingsactor die bekend staat als Midnight Blizzard (of NOBELIUM). Deze nieuwste aanval is gericht op organisaties in de sectoren overheid, niet-gouvernementele organisaties (NGO’s), IT-diensten, technologie, discrete productie en media.

Volgens Microsoft gebruikt de campagne gecompromitteerde Microsoft 365-accounts van kleine bedrijven om domeinen te registreren die zich voordoen als technische ondersteuningsentiteiten. De acteurs sturen vervolgens phishing-lokmiddelen via Teams-chat, waarbij ze zich voordoen als van deze entiteiten.

Om hun aanval te vergemakkelijken, gebruikt de acteur Microsoft 365-tenants die eigendom zijn van kleine bedrijven die ze bij eerdere aanvallen hebben gecompromitteerd om hun social engineering-aanval te hosten en te lanceren. De actor hernoemt de gecompromitteerde tenant, voegt een nieuw onmicrosoft.com-subdomein toe en voegt vervolgens een nieuwe gebruiker toe die aan dat domein is gekoppeld, van waaruit het uitgaande bericht naar de doeltenant moet worden verzonden.

Het doel is om gerichte gebruikers te misleiden om prompts voor multifactorauthenticatie (MFA) goed te keuren , waardoor de aanvallers inloggegevens kunnen stelen. Microsoft zegt dat tot nu toe minder dan 40 organisaties wereldwijd zijn getroffen.

Het Teams-platform van Microsoft heeft een aanzienlijk gebruikersbestand in de IT-industrie opgebouwd, met meer dan 280 miljoen actieve gebruikers .

De organisaties die het doelwit zijn van deze activiteit, wijzen waarschijnlijk op specifieke spionagedoelstellingen van Midnight Blizzard gericht op de overheid, niet-gouvernementele organisaties (NGO’s), IT-diensten, technologie, discrete productie en mediasectoren.

Dit toont de volharding van Midnight Blizzard in het nastreven van spionagedoelstellingen door middel van social engineering, ondanks herhaalde verwijderingen . Hun technieken omvatten het stelen van inloggegevens via phishing en het uitbuiten van het vertrouwen tussen cloudproviders en klanten.

Microsoft heeft de kwaadaardige domeinen uitgeschakeld en blijft de campagne volgen. Ze hebben getroffen klanten op de hoogte gebracht om te helpen bij het beveiligen van omgevingen.

Midnight Blizzard, door sommigen gevolgd als APT29, UNC2452 en Cozy Bear, wordt toegeschreven aan de Russische SVR-inlichtingendienst. Hun “cyberspionagecampagnes” richten zich meestal op overheids-, diplomatieke en ngo-doelen in de VS en Europa.

Ondertussen meldde Microsoft in juli dat een groep Chinese hackers toegang had gekregen tot e-mailaccounts van de overheid in de VS en Europa. En vervolgens heeft de Amerikaanse senator Ron Wyden het ministerie van Justitie, de Federal Trade Commission en de Cybersecurity and Infrastructure Security Agency (CISA) gevraagd om de hack van Microsoft-e-mailaccounts te onderzoeken.

Microsoft dringt er bij organisaties op aan om best practices op het gebied van beveiliging af te dwingen en ongevraagde authenticatieprompts als verdacht te behandelen.