Microsoft avverte gli utenti di Teams del nuovo attacco di phishing sostenuto dalla Russia

Microsoft ha segnalato un nuovo attacco di phishing di credenziali organizzato dall’attore di minacce con sede in Russia noto come Midnight Blizzard (o NOBELIUM). Questo ultimo attacco prende di mira organizzazioni del governo, organizzazioni non governative (ONG), servizi IT, tecnologia, produzione discreta e settori dei media.

Secondo Microsoft, la campagna utilizza account Microsoft 365 compromessi appartenenti a piccole imprese per registrare domini che si presentano come entità di supporto tecnico. Gli attori inviano quindi esche di phishing tramite la chat di Teams, fingendo di provenire da queste entità.

Per facilitare il loro attacco, l’attore utilizza tenant di Microsoft 365 di proprietà di piccole imprese che hanno compromesso in attacchi precedenti per ospitare e lanciare il loro attacco di social engineering. L’attore rinomina il tenant compromesso, aggiunge un nuovo sottodominio onmicrosoft.com, quindi aggiunge un nuovo utente associato a tale dominio da cui inviare il messaggio in uscita al tenant di destinazione.

L’obiettivo è indurre gli utenti mirati ad approvare le richieste di autenticazione a più fattori (MFA) , consentendo agli aggressori di rubare le credenziali di accesso. Microsoft afferma che finora sono state colpite meno di 40 organizzazioni a livello globale.

La piattaforma Teams di Microsoft ha raccolto una significativa base di utenti nel settore IT, con oltre 280 milioni di utenti attivi .

Le organizzazioni prese di mira in questa attività probabilmente indicano specifici obiettivi di spionaggio di Midnight Blizzard diretti al governo, alle organizzazioni non governative (ONG), ai servizi IT, alla tecnologia, alla produzione discreta e ai settori dei media.

Ciò dimostra la tenacia di Midnight Blizzard nel perseguire obiettivi di spionaggio attraverso l’ingegneria sociale nonostante i ripetuti abbattimenti . Le loro tecniche includono il furto di credenziali tramite phishing e lo sfruttamento della fiducia tra fornitori di servizi cloud e clienti.

Microsoft ha disattivato i domini dannosi e continua a monitorare la campagna. Hanno avvisato i clienti interessati per aiutare a proteggere gli ambienti.

Midnight Blizzard, tracciato da alcuni come APT29, UNC2452 e Cozy Bear, è stato attribuito all’agenzia di intelligence russa SVR. Le loro “campagne di spionaggio informatico” si concentrano tipicamente su obiettivi governativi, diplomatici e ONG negli Stati Uniti e in Europa.

Nel frattempo, Microsoft ha riferito a luglio che un gruppo di hacker cinesi ha avuto accesso agli account di posta elettronica del governo negli Stati Uniti e in Europa. E poi, il senatore degli Stati Uniti Ron Wyden ha chiesto al Dipartimento di Giustizia, alla Federal Trade Commission e alla Cybersecurity and Infrastructure Security Agency (CISA) di indagare sull’hacking degli account di posta elettronica Microsoft.

Microsoft esorta le organizzazioni ad applicare le best practice di sicurezza e a considerare sospette le richieste di autenticazione non richieste.