0
0
Empresa rastreou um conhecido grupo de hackers ligado ao governo russo usando seu aplicativo para envio de phishing de credenciais a organizações visadas
A Microsoft alertou que um grupo de hackers vinculado ao governo russo está usando sua plataforma de comunicação Teams, que combina funções de bate-papo, armazenamento de arquivos e videoconferências, para obter credenciais de organizações visadas. A gigante do software emitiu um comunicado nesta quarta-feira, 2, depois de rastrear um conhecido grupo de hackers ligado ao governo russo usando seu aplicativo para envio de phishing de credenciais a organizações visadas.
De acordo com um relatório de pesquisa da equipe de inteligência de ameaças de Redmond, o grupo de hackers é vinculado ao Serviço de Inteligência Estrangeira da Federação Russa — também conhecido como SVR — e foi pega visando governos, organizações não governamentais (ONGs), serviços de TI, tecnologia, manufatura e setores de mídia.
A Microsoft identificou o operador da ameaça como grupo Midnight Blizzard —anteriormente conhecido como Nobelium — e adverte que a gangue está usando assinates já hackeados do Microsoft 365, pertencentes a pequenas empresas, para criar novos domínios que aparecem como entidades de suporte técnico.
Usando esses domínios de assinantes comprometidos, os pesquisadores descobriram que os hackers usam mensagens do Teams para enviar iscas que tentam roubar credenciais da organização visada envolvendo um usuário e obtendo a aprovação de prompts de autenticação multifator (MFA).
A empresa disse que rastreou o grupo agindo em “menos de 40 organizações globais únicas”, o que sugere tratar-se de uma operação de ciberespionagem altamente cirúrgica contra alvos nos EUA e na Europa.
Os pesquisadores da Microsoft forneceram a documentação técnica do mais novo ataque de phishing de credenciais que inclui o uso de nomes de domínio com tema de segurança em iscas. No relatório, os pesquisadores escreveram o seguinte: “Para facilitar o ataque, o operador usa assinantes do Microsoft 365 pertencentes a pequenas empresas que eles comprometeram em ataques anteriores para hospedar e iniciar o ataque de engenharia social. O grupo renomeia o assinante comprometido, adiciona um novo subdomínio onmicrosoft.com e, em seguida, adiciona um novo usuário associado a esse domínio do qual enviará a mensagem de saída para o inquilino de destino. O operador usa palavras-chave com tema de segurança ou de nome de produto para criar um novo subdomínio e um novo nome de assinantes para dar legitimidade às mensagens. Esses ataques precursores para comprometer usuários legítimos do Azure e o uso de nomes de domínio homóglifos em iscas de engenharia social fazem parte de nossa investigação em andamento. A Microsoft mitigou o grupo de usar os domínios.”
A Microsoft disse ainda que o grupo de hackers parece ter obtido credenciais de conta válidas para os usuários que visam, ou estão mirando em usuários com autenticação sem senha configurada em sua conta — ambos exigem que o usuário digite um código que é exibido durante o fluxo de autenticação em o prompt no aplicativo Microsoft Authenticator em seu dispositivo móvel.
“Depois de tentar se autenticar em uma conta em que essa forma de MFA é necessária, o operador recebe um código que o usuário precisa inserir em seu aplicativo autenticador. O usuário recebe o prompt para inserir o código em seu dispositivo. O hacker então envia uma mensagem para o usuário-alvo pelo Microsoft Teams, solicitando que o usuário insira o código no prompt de seu dispositivo”, explicaram os pesquisadores. Se o usuário de destino aceitar a solicitação de mensagem e inserir o código no aplicativo Microsoft Authenticator, o grupo APT obterá um token para autenticar como o usuário de destino.
FONTE: CISO ADVISOR