За десятками фішингових атак на Microsoft Teams стоять російські хакери

4 августа 2023 г., 11:35

Reuters пише, що пов’язана з російським урядом хакерська група націлилася на десятки міжнародних організацій з метою викрадення облікових даних, залучаючи користувачів до чатів Microsoft Teams під виглядом представників служби технічної підтримки.

Ці «вузькоспрямовані» атаки соціальної інженерії торкнулися десь 40 унікальних глобальних організацій з кінця травня, повідомили дослідники Microsoft в блозі, додавши, що компанія проводить розслідування.

За словами дослідників, хакери створили домени та облікові записи, які виглядали як служба технічної підтримки, і намагалися залучити користувачів Teams до чатів і змусити їх схвалити підказки багатофакторної автентифікації (MFA).

«Корпорація Майкрософт відсторонила зловмисника від використання доменів і продовжує розслідувати цю діяльність та працювати над усуненням наслідків атаки», - зазначається у блозі корпорації.

Платформа бізнес-комунікацій Teams налічує понад 280 мільйонів активних користувачів, згідно з січневим фінансовим звітом компанії.

MFA є широко рекомендованим заходом безпеки, спрямованим на запобігання злому або крадіжці облікових даних. Атака на Teams свідчить про те, що хакери знаходять нові способи обійти її.

Хакерська група, що стоїть за цією діяльністю, відома в індустрії як Midnight Blizzard або APT29, базується в Росії, а уряди Великобританії та США пов’язують її зі службою зовнішньої розвідки країни, кажуть дослідники. «Організації, на які спрямована ця діяльність, ймовірно, вказують на конкретні шпигунські цілі Midnight Blizzard, спрямовані на уряд, неурядові організації (НУО), ІТ-сервіси, технології, дискретне виробництво та медіа-сектор», - зазначають вони, не називаючи жодної з цілей.

«Ця остання атака, в поєднанні з минулою активністю, ще раз демонструє, що Midnight Blizzard продовжує виконувати свої завдання, використовуючи як нові, так і звичайні методи», - йдеться у дослідженні.

Відомо, що Midnight Blizzard атакує такі організації, в основному в США і Європі, ще з 2018 року, додали вони.

Хакери використовували вже скомпрометовані облікові записи Microsoft 365, що належать малим підприємствам, для створення нових доменів, які, як видається, були пов’язані зі службами технічної підтримки і містили слово «microsoft». За словами дослідників, акаунти, прив’язані до цих доменів, надсилали фішингові повідомлення, щоб заманювати людей через Teams.