Microsoft ostrzega użytkowników Teams przed nowym atakiem phishingowym wspieranym przez Rosję

Firma Microsoft zgłosiła nowy atak phishingowy na dane uwierzytelniające, zorganizowany przez rosyjskiego cyberprzestępcę znanego jako Midnight Blizzard (lub NOBELIUM). Celem tego najnowszego ataku są organizacje z sektora rządowego, organizacji pozarządowych (NGO), usług IT, technologii, produkcji dyskretnej i mediów.

Według Microsoftu kampania wykorzystuje przejęte konta Microsoft 365 należące do małych firm do rejestracji domen podszywających się pod podmioty pomocy technicznej. Następnie aktorzy wysyłają przynęty phishingowe za pośrednictwem czatu Teams, udając, że pochodzą z tych podmiotów.

Aby ułatwić atak, aktor wykorzystuje dzierżawców platformy Microsoft 365 należących do małych firm, które naruszyły podczas poprzednich ataków, do hostowania i przeprowadzania ataku socjotechnicznego. Aktor zmienia nazwę zaatakowanej dzierżawy, dodaje nową subdomenę onmicrosoft.com, a następnie dodaje nowego użytkownika skojarzonego z tą domeną, z którego ma zostać wysłana wiadomość wychodząca do dzierżawcy docelowego.

Celem jest nakłonienie docelowych użytkowników do zatwierdzenia monitów o uwierzytelnianie wieloskładnikowe (MFA) , co umożliwi atakującym kradzież danych logowania. Microsoft twierdzi, że do tej pory ucierpiało mniej niż 40 organizacji na całym świecie.

Platforma Teams firmy Microsoft zgromadziła znaczną bazę użytkowników w branży IT, z ponad 280 milionami aktywnych użytkowników .

Organizacje będące celem tego działania prawdopodobnie wskazują na konkretne cele szpiegowskie Midnight Blizzard skierowane do sektora rządowego, organizacji pozarządowych (NGO), usług IT, technologii, produkcji dyskretnej i mediów.

Pokazuje to wytrwałość Midnight Blizzard w dążeniu do celów szpiegowskich poprzez inżynierię społeczną, pomimo wielokrotnych eliminacji . Ich techniki obejmują kradzież danych uwierzytelniających poprzez phishing i wykorzystywanie zaufania między dostawcami chmury a klientami.

Microsoft wyłączył złośliwe domeny i nadal monitoruje kampanię. Powiadomili klientów, których to dotyczy, aby pomóc zabezpieczyć środowiska.

Midnight Blizzard, śledzony przez niektórych jako APT29, UNC2452 i Cozy Bear, został przypisany rosyjskiej agencji wywiadowczej SVR. Ich „kampanie cyberszpiegowskie” zwykle koncentrują się na celach rządowych, dyplomatycznych i pozarządowych w Stanach Zjednoczonych i Europie.

Tymczasem Microsoft poinformował w lipcu, że grupa chińskich hakerów uzyskała dostęp do rządowych kont e-mail w USA i Europie. Następnie amerykański senator Ron Wyden zwrócił się do Departamentu Sprawiedliwości, Federalnej Komisji Handlu oraz Agencji Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) o zbadanie włamania na konta e-mail firmy Microsoft.

Microsoft wzywa organizacje do egzekwowania najlepszych praktyk w zakresie bezpieczeństwa i traktowania niechcianych monitów o uwierzytelnienie jako podejrzanych.