Uważaj na phishing na Microsoft Teams

Microsoft poinformował o wykryciu zestawu wysoko ukierunkowanych ataków socjotechnicznych przeprowadzonych przez rosyjską grupę hakerów państwowych, która używała przynęt phishingowych do kradzieży danych uwierzytelniających wysyłanych jako czaty w Microsoft Teams. Technologiczny gigant przypisał te ataki grupie, którą śledzi pod nazwą Midnight Blizzard (wcześniej znanej jako Nobelium). Grupa ta jest również nazywana APT29, BlueBravo, Cozy Bear, Iron Hemlock oraz The Dukes.

  • Monika Świetlińska
  • /
  • 10 sierpnia 2023

Szczegóły ataku

W najnowszej aktywności, grupa Midnight Blizzard wykorzystała wcześniej skompromitowane konta Microsoft 365 małych firm, tworząc nowe domeny wyglądające na podmioty technicznej pomocy. Następnie, za pomocą tych domen, atakujący wysyłali wiadomości w Teams, próbując ukraść dane uwierzytelniające od wybranej organizacji poprzez zmuszenie użytkownika do zatwierdzenia wieloskładnikowego uwierzytelnienia (MFA).

Oprogramowanie dla administratorów IT ma poważną lukęOprogramowanie dla administratorów IT ma poważną lukę Damian Jemioło

Microsoft zauważył, że kampania, obserwowana od końca maja 2023 r., dotknęła mniej niż 40 organizacji na całym świecie, w tym rządy, organizacje pozarządowe, usługi IT, technologię, dyskretną produkcję i sektory mediów.

Metody i techniki

Grupa Midnight Blizzard wykorzystywała techniki kradzieży tokenów do początkowego dostępu do celów, obok innych metod, takich jak autentyczny spear-phishing, password spraying i ataki brute-force. Innym znanym znakiem rozpoznawczym jest wykorzystanie środowisk lokalnych do przeniesienia się do chmury oraz nadużywanie łańcucha zaufania dostawców usług, aby uzyskać dostęp do klientów, jak to miało miejsce w ataku SolarWinds w 2020 roku.

W nowej serii ataków związanych z Midnight Blizzard, nowa subdomena onmicrosoft.com jest dodawana do wcześniej skompromitowanego najemcy, a następnie tworzony jest nowy użytkownik z tą subdomeną, aby zainicjować żądanie czatu Teams z potencjalnymi celami, podszywając się pod osobę techniczną wsparcia lub zespół ochrony tożsamości Microsoftu.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Jeśli użytkownik docelowy zaakceptuje żądanie wiadomości, otrzyma wiadomość od atakującego w Microsoft Teams, próbując przekonać go do wprowadzenia kodu do aplikacji Microsoft Authenticator na swoim urządzeniu mobilnym. Jeśli ofiara zastosuje się do instrukcji, atakujący otrzymuje token do uwierzytelnienia jako docelowy użytkownik, co pozwala na przejęcie konta i dalszą aktywność po kompromitacji.

Ostrzeżenie i konsekwencje

Odkrycia te następują po przypisaniu grupie zagrożeń ataków phishingowych na cele dyplomatyczne w Europie Wschodniej z celem dostarczenia nowego backdooru o nazwie GraphicalProton. Obejmują one również odkrycie kilku nowych wektorów ataku Azure AD (AAD) Connect, które mogą pozwolić złośliwym podmiotom na stworzenie niewykrywalnego backdooru poprzez kradzież kryptograficznych hashy haseł.

Uważaj na fałszywe reklamy z PGNiG i Januszem KowalskimUważaj na fałszywe reklamy z PGNiG i Januszem KowalskimDamian Jemioło

Microsoft ostrzega przed powagą tych ataków i zachęca do ścisłego monitorowania i zabezpieczania środowisk zarówno lokalnych, jak i chmurowych. Wykrycie i zrozumienie tak złożonych i wyrafinowanych technik ataku jest kluczowe dla ochrony organizacji przed potencjalnymi zagrożeniami.

Microsoft zauważył, że kampania, obserwowana od końca maja 2023 roku, dotknęła mniej niż 40 organizacji na całym świecie, obejmujących sektory rządowe, pozarządowe, usługi IT, technologię, produkcję dyskretną oraz media.

Hakerzy wykorzystywali techniki kradzieży tokenów do początkowego dostępu do docelowych środowisk, a także inne metody, takie jak spear-phishing uwierzytelniający, ataki typu password spray i brute-force. Innym znanym znakiem rozpoznawczym jest wykorzystywanie środowisk lokalnych do przenoszenia się do chmury, a także nadużywanie zaufania dostawców usług, aby uzyskać dostęp do klientów.

W nowej fali ataków związanych z Midnight Blizzard, nowa subdomena onmicrosoft.com jest dodawana do wcześniej skompromitowanego konta, a następnie tworzony jest nowy użytkownik z tą subdomeną, aby zainicjować żądanie czatu w Teams z potencjalnymi celami, udając osobę techniczną wsparcia lub zespół ochrony tożsamości Microsoftu.

Jeśli docelowy użytkownik zaakceptuje żądanie wiadomości, otrzyma wiadomość od atakującego w Microsoft Teams, próbującego przekonać go do wprowadzenia kodu do aplikacji Microsoft Authenticator na swoim urządzeniu mobilnym. Jeśli ofiara postępuje zgodnie z instrukcjami, haker otrzymuje token umożliwiający uwierzytelnienie jako

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Security Magazine
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!