Microsoft sier Russland-tilknyttede hackere bak dusinvis av Teams phishing-angrep
SAN FRANCISCO, 2. august (Reuters) – En russisk regjeringskoblet hackergruppe tok sikte på dusinvis av globale organisasjoner med en kampanje for å stjele påloggingsinformasjon ved å engasjere brukere i Microsoft Teams-chatter som utgir seg for å være fra teknisk støtte, sa Microsoft-forskere onsdag.
Disse “svært målrettede” angrepene innen sosial ingeniørkunst har påvirket “færre enn 40 unike globale organisasjoner” siden slutten av mai, sa Microsoft-forskere i en blogg, og la til at selskapet undersøkte.
Den russiske ambassaden i Washington svarte ikke umiddelbart på en forespørsel om kommentar.
Hackerne satte opp domener og kontoer som så ut som teknisk støtte og prøvde å engasjere Teams-brukere i chatter og få dem til å godkjenne forespørsler om multifaktorautentisering (MFA), sa forskerne.
“Microsoft har begrenset aktøren fra å bruke domenene og fortsetter å undersøke denne aktiviteten og arbeide for å utbedre virkningen av angrepet,” la de til.
Teams er Microsofts proprietære forretningskommunikasjonsplattform, med mer enn 280 millioner aktive brukere, ifølge selskapets januarregnskap.
MFAer er et bredt anbefalt sikkerhetstiltak som tar sikte på å forhindre hacking eller tyveri av legitimasjon. Teams-målrettingen antyder at hackere finner nye måter å komme forbi det på.
Hackergruppen bak denne aktiviteten, kjent i bransjen som Midnight Blizzard eller APT29, er basert i Russland og britiske og amerikanske myndigheter har knyttet den til landets utenlandske etterretningstjeneste, sa forskerne.
“Organisasjonene som er målrettet i denne aktiviteten indikerer sannsynligvis spesifikke spionasjemål av Midnight Blizzard rettet mot myndigheter, ikke-statlige organisasjoner (NGOer), IT-tjenester, teknologi, diskret produksjon og mediesektorer,” sa de, uten å nevne noen av målene.
“Dette siste angrepet, kombinert med tidligere aktivitet, demonstrerer ytterligere Midnight Blizzards pågående utførelse av deres mål ved bruk av både nye og vanlige teknikker,” skrev forskerne.
Midnight Blizzard har vært kjent for å målrette mot slike organisasjoner, hovedsakelig i USA og Europa, helt tilbake til 2018, la de til.
Hackerne brukte allerede kompromitterte Microsoft 365-kontoer eid av små bedrifter for å lage nye domener som så ut til å være tekniske støtteenheter og hadde ordet “microsoft” i seg, ifølge detaljer i Microsoft-bloggen. Kontoer knyttet til disse domenene sendte deretter phishing-meldinger for å lokke folk via Teams, sa forskerne.
Rapportering av Zeba Siddiqui i San Francisco; Redigering av Gerry Doyle
Våre standarder: Thomson Reuters Trust Principles.