Felhőalapú Biztonsági Rések: Orosz Hackerek a Microsoft Teams Adathalász Kísérletei

Szerző:

Biztonsági figyelmeztetés a felhőben: orosz hackerek Microsoft Teams segítségével adathalászatot végeznek

A Microsoft szerint egy az orosz kormányhoz köthető hackercsoport a Microsoft Teams csevegő alkalmazást használja adathalászati célokra különböző szervezeteknél.

Microsoft Jelentés

A szoftvercég, Microsoft, szerda hajnalban adott ki közleményt egy orosz kormánnyal kapcsolatban álló, ismert hackercsoport tevékenységéről, amely a Microsoft Teams alkalmazást használja felhasználói adatok lopására.

A redmondi Fenyegetések Intelligencia Csapat kutatási jelentése szerint a hackercsoport az orosz Külügyi Hírszerző Szolgálatához (SVR-ként is ismert) köthető. A csoportot kormányzati és civil szervezetek, IT szolgáltatók, technológiai vállalatok, gyártók és médiaházak elleni támadásokkal vádolják.

Éjféli Hóvihar Támadásai

A Microsoft ezt a csoportot ‘Éjféli Hóvihar’ (korábban Nobelium néven ismert) néven azonosította, és figyelmeztetett arra, hogy a csoport már fertőzött Microsoft 365 felhasználói fiókokat használ kisvállalkozásoktól új domainek létrehozására, amelyek technikai támogató entitásoknak látszanak.

Ezen domainekkel a kutatók a Microsoft Teams üzeneteit használták felhasználói adatok lopására, amelyek a felhasználók interakcióját és többlépéses hitelesítési folyamatokat (MFA) céloztak meg.

A vállalat azt állítja, hogy a támadásokat kevesebb mint 40 globális szervezetnél azonosították, ami arra utal, hogy ez USA-ban és Európában egy célzott, precíz kiberkémkedési akcióról van szó.

További Részletek a Támadásról

A Microsoft kutatói a legújabb adathalász támadások technikai dokumentációját is elkészítették, amely a csalétek céljából használt biztonsági domainnevekre vonatkozik.

„A támadások megkönnyítése érdekében a csoport korábban megfertőzött kisvállalkozások Microsoft 365 fiókjait használta. A csoport átnevezi a fertőzött fiókot, hozzáad egy új ‘onmicrosoft.com’ aldomaint, és létrehoz egy új felhasználót ezen a domainen, amelyről üzenetet küld a célpont fiókhoz.”

Ha a támadás sikeres, a támadók hozzáférnek a célpont Microsoft 365 fiókjához és a kapcsolódó szolgáltatásokhoz, és befejezik a hitelesítési folyamatot.

Amikor a támadás megtörténik, a támadók eltulajdoníthatják a felhasználói információkat, és hozzáférhetnek más Microsoft 365 szolgáltatásokhoz, mint például az Azure.

Védelem és Utóhatások

A Microsoft azt állítja, hogy észlelte a támadás utáni tevékenységeket és az információk eltulajdonítását. Bizonyos esetekben az aktor megpróbált hozzáadni eszközöket a szervezethez, amelyeket a Microsoft Entra ID kezel. Ez a támadó számára lehetővé teszi, hogy megkerülje azokat a feltételes hozzáférési szabályokat, amelyek csak kezelt eszközökkel működnek.

A Microsoft folyamatosan dolgozik azon, hogy felismerje és blokkolja ezen támadási vektorokat, és azt javasolja a felhasználóknak, hogy legyenek óvatosak minden ismeretlen forrásból érkező üzenettel és felszólítással kapcsolatban.

Forrás: www.securityweek.com