Um ataque de engenharia social para ignorar a proteção MFA
“Para facilitar o ataque, o ator usa locatários do Microsoft 365 pertencentes a pequenas empresas que eles comprometeram em ataques anteriores para hospedar e lançar seu ataque de engenharia social. O ator renomeia o inquilino comprometido, adiciona um novo subdomínio onmicrosoft.com e, em seguida, adiciona um novo usuário associado a esse domínio para enviar a mensagem de saída para o inquilino de destino”, explicou a empresa .
Os subdomínios controlados por atores e os novos nomes de locatários incorporaram palavras-chave relacionadas a produtos ou segurança (por exemplo, azuresecuritycenter ou teamsprotection ; “Microsoft Identity Protection”).
O ator então enviaria uma solicitação de mensagem do Microsoft Teams para os funcionários de destino e, se eles aceitassem, receberiam uma mensagem do Microsoft Teams instando-os a inserir um código no aplicativo Microsoft Authenticator em seu dispositivo móvel.
Solicitação de bate-papo do Microsoft Teams do agente da ameaça (Fonte: Microsoft)
Se eles seguissem as instruções, o agente da ameaça receberia um token para autenticar a conta do Microsoft 365 do usuário.
“O ator passa então a realizar atividades pós-comprometimento, que normalmente envolvem roubo de informações do locatário do Microsoft 365 comprometido. Em alguns casos, o ator tenta adicionar um dispositivo à organização como um dispositivo gerenciado por meio do Microsoft Entra ID (anteriormente Azure Active Directory), provavelmente uma tentativa de contornar as políticas de acesso condicional configuradas para restringir o acesso a recursos específicos apenas para dispositivos gerenciados.”
A Microsoft diz que os alvos desta campanha foram organizações governamentais e não governamentais e organizações nos setores de serviços de TI, tecnologia, manufatura discreta e mídia.
Midnight Blizzard (também conhecido como Nobelium, APT 29 ou Cozy Bear) tem se concentrado por muitos anos em alvos nos EUA e na Europa e na coleta de informações que podem ajudar a promover os interesses da Federação Russa.
A empresa ainda está investigando como os locatários legítimos do Azure foram comprometidos; os subdomínios maliciosos foram, obviamente, retirados.
Fechando avenidas de ataque
O fato de esse tipo de ataque direcionado ser ocasionalmente bem-sucedido não deveria ser uma surpresa. Os invasores estão usando técnicas e iscas inteligentes de engenharia social e contam com muitas identidades ainda confiáveis nas equipes e mensagens recebidas por meio da plataforma.
Eles também estão aproveitando o fato de que muitas organizações que usam o Microsoft Teams não mudaram a configuração padrão da Microsoft, o que permite que usuários do M365 fora da organização alcancem usuários internos (embora a mensagem seja sinalizada como vinda de fora da empresa).
Esse recurso facilmente explorável foi recentemente enfatizado pelos pesquisadores da Jumpsec, que descobriram que também é fácil entregar malware diretamente na caixa de entrada de um usuário do MS Teams, mesmo que a configuração padrão do Teams não o permita. Algumas semanas depois, o red teamer Alex Reid lançou uma ferramenta chamada TeamsPhisher que automatiza esse aspecto do ataque.
Até (e se) a Microsoft decidir corrigir esses dois problemas ou agir para minimizar seu potencial para ataques de engenharia social, as organizações são aconselhadas a ensinar aos funcionários como identificar ataques de phishing de credenciais e engenharia social e nunca compartilhar suas informações de conta ou autorizar assinaturas em pedidos pelo chat.
A Microsoft também recomenda que as organizações comecem a implantar métodos de autenticação resistentes a phishing para usuários e evitem que locatários externos possam entrar em contato com funcionários por meio do Teams ou limitar quem pode contatá-los (por exemplo, apenas usuários de organizações M365 confiáveis).
FONTE: HELP NET SECURITY