Microsoft har afsløret den snedige phishing-taktik, der anvendes af russiske hackere ved hjælp af Microsoft Teams-chat.
Virksomheden afslørede, at den har identificeret en række meget målrettede sociale ingeniørangreb orkestreret af en russisk statssponsoreret trusselsgruppe. Disse angreb involverer afsendelse af phishing-lokker med legitimationsoplysninger i form af Microsoft Teams-chats.
Hvordan opererer hackergruppen?
Hackergruppen, kendt som Midnight Blizzard (også tidligere anerkendt som Nobelium, APT29, BlueBravo, Cozy Bear, Iron Hemlock og The Dukes), har brugt kompromitterede Microsoft 365-lejere ejet af små virksomheder til at oprette nye domæner, der efterligner tekniske støtte enheder. Gruppen udnytter derefter disse kompromitterede domæner til at sende Teams-beskeder, der indeholder lokker, der har til formål at stjæle legitimationsoplysninger. Disse lokker involverer at engagere brugere og narre dem til at godkende multi-factor authentication (MFA) prompter.
Microsoft har overvåget denne kampagne siden mindst slutningen af ​​maj 2023 og har fastslået, at den påvirkede færre end 40 organisationer globalt. Disse berørte organisationer spænder over forskellige sektorer, herunder regering, ikke-statslige organisationer (NGO'er), it-tjenester, teknologi, diskret fremstilling og medier.
Den taktik, der anvendes af Midnight Blizzard, inkluderer token-tyveriteknikker til indledende adgang, sammen med andre strategier såsom autentificeringsspyd-phishing, password-spraying og brute-force-angreb. Et bemærkelsesværdigt træk ved deres operationer er udnyttelsen af ​​lokale miljøer til at flytte sideværts til skyen. De udnytter også tillidskæden af ​​tjenesteudbydere til at få adgang til downstream-kunder, en taktik svarende til SolarWinds-hacket fra 2020.
I deres seneste bølge af angreb tilføjer Midnight Blizzard et nyt onmicrosoft.com-underdomæne til en tidligere kompromitteret lejer. De opretter derefter en ny bruger tilknyttet det underdomæne for at starte Teams chatanmodninger med potentielle mål. Disse chats er udformet til at se ud, som om de er fra teknisk supportpersonale eller Microsofts Identity Protection-team. Hvis målbrugeren accepterer chatanmodningen, modtager de en besked med instruktioner om at indtaste en kode i Microsoft Authenticator-appen på deres mobilenhed. At følge disse instruktioner giver trusselsaktøren et token, der giver dem mulighed for at autentificere som den målrettede bruger. Dette baner vejen for kontoovertagelse og efterfølgende ondsindet aktivitet.
Derudover har gruppen forsøgt at tilføje en enhed til målrettede organisationer som en administreret enhed gennem Microsoft Entra ID (tidligere Azure Active Directory), muligvis for at omgå adgangsbegrænsninger pålagt specifikke ressourcer. Denne konstatering følger nylige rapporter om trusselsaktøren, der retter sig mod diplomatiske enheder i Østeuropa med phishing-angreb designet til at levere en ny bagdør ved navn GraphicalProton.
Desuden falder Microsofts afsløringer sammen med opdagelsen af ​​nye angrebsvektorer til Azure AD (AAD) Connect. Disse vektorer gør det muligt for cyberkriminelle at etablere en uopdagelig bagdør ved at stjæle kryptografiske kodeords-hashes gennem ondsindet kodeinjektion og opsnappe legitimationsoplysninger ved hjælp af modstander-i-midten (AitM)-angreb.
Cybersikkerhedsfirmaet Sygnia understregede, at angribere kan udnytte udvindingen af ​​NT-hashes for at sikre, at de modtager fremtidige adgangskodeændringer i domænet. De kan også udnytte Active Directory Certificate Services til at opnå AAD Connector-adgangskoder og udføre man-in-the-middle-angreb mod SSL-krypterede kanaler ved at udnytte fejlkonfigurationer i certifikatskabeloner, der bruges til servergodkendelse.