微軟警告 Teams 用戶注意俄羅斯支持的新網絡釣魚攻擊

微軟報告了一次由名為 Midnight Blizzard（或 NOBELIUM）的俄羅斯威脅組織組織的新的憑證網絡釣魚攻擊。這次最新的攻擊針對政府組織、非政府組織 (NGO)、IT 服務、技術、離散製造和媒體部門。

據微軟稱，該活動使用屬於小型企業的受損 Microsoft 365 帳戶來註冊冒充技術支持實體的域。然後，攻擊者通過 Teams 聊天發送網絡釣魚誘餌，假裝來自這些實體。

為了方便他們的攻擊，攻擊者使用他們在之前的攻擊中受到損害的小企業擁有的 Microsoft 365 租戶來託管和發起他們的社會工程攻擊。攻擊者重命名受感染的租戶，添加新的 onmicrosoft.com 子域，然後添加與該域關聯的新用戶，從該用戶向目標租戶發送出站消息。

目標是誘騙目標用戶批准多重身份驗證 (MFA) 提示，從而允許攻擊者竊取登錄憑據。微軟表示，迄今為止，全球只有不到 40 個組織受到影響。

微軟的Teams平台在IT行業擁有龐大的用戶群，活躍用戶超過2.8億。

此活動的目標組織可能表明 Midnight Blizzard 針對政府、非政府組織 (NGO)、IT 服務、技術、離散製造和媒體部門的特定間諜目標。

這表明午夜暴雪儘管屢次被擊垮，仍堅持通過社會工程來實現間諜目標。他們的技術包括通過網絡釣魚竊取憑據以及利用雲提供商和客戶之間的信任。

微軟已經關閉了惡意域並繼續監控該活動。他們已通知受影響的客戶幫助保護環境。

午夜暴雪（被一些人追踪為 APT29、UNC2452 和 Cozy Bear）被認為是俄羅斯 SVR 情報機構所為。他們的“網絡間諜活動”通常集中在美國和歐洲的政府、外交和非政府組織目標。

與此同時，微軟在 7 月份報導稱，一群中國黑客侵入了美國和歐洲的政府電子郵件帳戶。隨後，美國參議員羅恩·懷登 (Ron Wyden) 要求司法部、聯邦貿易委員會以及網絡安全和基礎設施安全局 (CISA) 調查微軟電子郵件帳戶遭到黑客攻擊的事件。

微軟敦促組織實施安全最佳實踐，並將未經請求的身份驗證提示視為可疑。