Microsoft alerta usuários do Teams sobre novo ataque de phishing apoiado pela Rússia

A Microsoft relatou um novo ataque de phishing de credenciais organizado pelo agente de ameaças baseado na Rússia conhecido como Midnight Blizzard (ou NOBELIUM). Este último ataque tem como alvo organizações governamentais, organizações não governamentais (ONGs), serviços de TI, tecnologia, manufatura discreta e setores de mídia.

De acordo com a Microsoft, a campanha usa contas comprometidas do Microsoft 365 pertencentes a pequenas empresas para registrar domínios que se apresentam como entidades de suporte técnico. Os atores então enviam iscas de phishing por meio do bate-papo do Teams, fingindo ser dessas entidades.

Para facilitar o ataque, o ator usa locatários do Microsoft 365 pertencentes a pequenas empresas que eles comprometeram em ataques anteriores para hospedar e iniciar o ataque de engenharia social. O ator renomeia o inquilino comprometido, adiciona um novo subdomínio onmicrosoft.com e, em seguida, adiciona um novo usuário associado a esse domínio do qual enviará a mensagem de saída para o inquilino de destino.

O objetivo é enganar os usuários-alvo para que aprovem os prompts de autenticação multifator (MFA) , permitindo que os invasores roubem credenciais de login. A Microsoft diz que menos de 40 organizações em todo o mundo foram afetadas até agora.

A plataforma Teams da Microsoft conquistou uma base de usuários significativa no setor de TI, com mais de 280 milhões de usuários ativos .

As organizações visadas nesta atividade provavelmente indicam objetivos específicos de espionagem da Midnight Blizzard direcionados ao governo, organizações não governamentais (ONGs), serviços de TI, tecnologia, manufatura discreta e setores de mídia.

Isso mostra a persistência da Midnight Blizzard em perseguir os objetivos de espionagem por meio da engenharia social , apesar das repetidas quedas . Suas técnicas incluem roubar credenciais por meio de phishing e explorar a confiança entre provedores de nuvem e clientes.

A Microsoft desligou os domínios maliciosos e continua monitorando a campanha. Eles notificaram os clientes afetados para ajudar a proteger os ambientes.

Midnight Blizzard, rastreado por alguns como APT29, UNC2452 e Cozy Bear, foi atribuído à agência de inteligência SVR da Rússia. Suas “campanhas de ciberespionagem” geralmente se concentram em alvos governamentais, diplomáticos e de ONGs nos Estados Unidos e na Europa.

Enquanto isso, a Microsoft informou em julho que um grupo de hackers chineses obteve acesso a contas de e-mail do governo nos EUA e na Europa. E então, o senador dos EUA Ron Wyden pediu ao Departamento de Justiça, à Federal Trade Commission e à Cybersecurity and Infrastructure Security Agency (CISA) para investigar o hack de contas de e-mail da Microsoft.

A Microsoft recomenda que as organizações apliquem as melhores práticas de segurança e tratem as solicitações de autenticação não solicitadas como suspeitas.