Η Microsoft προειδοποιεί τους χρήστες του Teams για νέα επίθεση phishing που υποστηρίζεται από τη Ρωσία

Microsoft


έχει αναφέρει

μια νέα επίθεση διαπιστευτηρίων

phishing

που οργανώθηκε από τον ηθοποιό απειλών με έδρα τη Ρωσία, γνωστό ως Midnight

Blizzard

(ή NOBELIUM). Αυτή η τελευταία επίθεση στοχεύει οργανισμούς στην κυβέρνηση, μη κυβερνητικούς οργανισμούς (ΜΚΟ), υπηρεσίες πληροφορικής, τεχνολογία, διακριτή κατασκευή και τομείς μέσων ενημέρωσης.

Σύμφωνα με τη Microsoft, η καμπάνια χρησιμοποιεί παραβιασμένους λογαριασμούς Microsoft 365 που ανήκουν σε μικρές επιχειρήσεις για την εγγραφή τομέων που παρουσιάζονται ως οντότητες τεχνικής υποστήριξης. Στη συνέχεια, οι ηθοποιοί στέλνουν θέλγητρα phishing μέσω της συνομιλίας του Teams, προσποιούμενοι ότι είναι από αυτές τις οντότητες.

Για να διευκολύνει την επίθεσή του, ο ηθοποιός χρησιμοποιεί ενοικιαστές του Microsoft 365 που ανήκουν σε μικρές επιχειρήσεις που έχουν παραβιάσει σε προηγούμενες επιθέσεις για να φιλοξενήσει και να εξαπολύσει την επίθεση κοινωνικής μηχανικής τους. Ο ηθοποιός μετονομάζει τον παραβιασμένο μισθωτή, προσθέτει έναν νέο υποτομέα onmicrosoft.com και, στη συνέχεια, προσθέτει έναν νέο χρήστη που σχετίζεται με αυτόν τον τομέα από τον οποίο θα στείλει το εξερχόμενο μήνυμα στον ενοικιαστή-στόχο.

Ο στόχος είναι να εξαπατηθούν οι στοχευμένοι χρήστες ώστε να εγκρίνουν τα μηνύματα ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA), επιτρέποντας στους εισβολείς να κλέψουν τα διαπιστευτήρια σύνδεσης. Η Microsoft λέει ότι λιγότεροι από 40 οργανισμοί παγκοσμίως έχουν επηρεαστεί μέχρι στιγμής.

Η πλατφόρμα Teams της Microsoft έχει συγκεντρώσει μια σημαντική βάση χρηστών στον κλάδο της πληροφορικής, με

πάνω από 280 εκατομμύρια ενεργούς χρήστες

.

Οι οργανισμοί που στοχεύουν σε αυτή τη δραστηριότητα πιθανώς υποδεικνύουν συγκεκριμένους στόχους κατασκοπείας από τη Midnight Blizzard που απευθύνονται σε τομείς της κυβέρνησης, των μη κυβερνητικών οργανισμών (ΜΚΟ), των υπηρεσιών πληροφορικής, της τεχνολογίας, της διακριτής κατασκευής και των μέσων ενημέρωσης.

Αυτό δείχνει την επιμονή της Midnight Blizzard στην επιδίωξη στόχων κατασκοπείας μέσω της κοινωνικής μηχανικής παρά τις επαναλαμβανόμενες καταστροφές. Οι τεχνικές τους περιλαμβάνουν την κλοπή διαπιστευτηρίων μέσω phishing και την εκμετάλλευση της εμπιστοσύνης μεταξύ παρόχων

cloud

και πελατών.

Η Microsoft έχει απενεργοποιήσει τους κακόβουλους τομείς και συνεχίζει να παρακολουθεί την καμπάνια. Έχουν ειδοποιήσει τους επηρεαζόμενους πελάτες για να βοηθήσουν σε ασφαλή περιβάλλοντα.

Το Midnight Blizzard, που παρακολουθείται από ορισμένους ως APT29, UNC2452 και Cozy Bear, έχει αποδοθεί στην υπηρεσία πληροφοριών SVR της Ρωσίας. Οι «εκστρατείες κυβερνοκατασκοπείας» τους επικεντρώνονται συνήθως σε κυβερνητικούς, διπλωματικούς και ΜΚΟ στόχους στις ΗΠΑ και την Ευρώπη.

Εν τω μεταξύ, η Microsoft ανέφερε τον Ιούλιο ότι μια ομάδα Κινέζων χάκερ είχε πρόσβαση σε κυβερνητικούς λογαριασμούς email στις ΗΠΑ και την Ευρώπη. Και στη συνέχεια, ο αμερικανός γερουσιαστής Ron Wyden ζήτησε από το Υπουργείο Δικαιοσύνης, την Ομοσπονδιακή Επιτροπή Εμπορίου και την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) να διερευνήσουν την παραβίαση λογαριασμών email της Microsoft.

Η Microsoft προτρέπει τους οργανισμούς να επιβάλλουν τις βέλτιστες πρακτικές ασφάλειας και να αντιμετωπίζουν τα ανεπιθύμητα μηνύματα ελέγχου ταυτότητας ως ύποπτα.