Η Microsoft αναφέρει ότι μια ομάδα hacking που εντοπίζεται ως APT29 και συνδέεται με την Υπηρεσία Πληροφοριών Εξωτερικού (SVR) της Ρωσίας, στόχευσε δεκάδες οργανισμούς παγκοσμίως, συμπεριλαμβανομένων κυβερνητικών υπηρεσιών, σε επιθέσεις phishing της Microsoft Teams.
Δείτε επίσης: Οι hackers APT29 δελεάζουν διπλωμάτες με διαφημίσεις αυτοκινήτων – Σε κίνδυνο και Έλληνες διπλωμάτες
“Η τρέχουσα έρευνά μας δείχνει ότι αυτή η εκστρατεία επηρέασε λιγότερους από 40 μοναδικούς παγκόσμιους οργανισμούς”, αποκάλυψε σήμερα η Microsoft.
“Οι οργανισμοί που αποτελούν στόχο αυτής της δραστηριότητας υποδηλώνουν πιθανότατα συγκεκριμένους κατασκοπευτικούς στόχους της Midnight Blizzard που απευθύνονται στην κυβέρνηση, σε μη κυβερνητικές οργανώσεις (ΜΚΟ), στις υπηρεσίες πληροφορικής, στην τεχνολογία, στη διακριτή παραγωγή και στους τομείς των μέσων ενημέρωσης”.
Οι δράστες χρησιμοποίησαν παραβιασμένους μισθωτές του Microsoft 365 για να δημιουργήσουν νέα domains με θέμα την τεχνική υποστήριξη και να στείλουν παραπλανητικά μηνύματα τεχνικής υποστήριξης, προσπαθώντας να ξεγελάσουν τους χρήστες των στοχευμένων οργανισμών χρησιμοποιώντας τακτικές κοινωνικής μηχανικής.
Στόχος τους ήταν να χειραγωγήσουν τους χρήστες ώστε να δώσουν έγκριση για τις προτροπές ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA), με απώτερο σκοπό να κλέψουν τα διαπιστευτήριά τους.
Αυτά τα νέα domains ήταν μέρος του ‘onmicrosoft.com’, ενός νόμιμου domain της Microsoft που χρησιμοποιείται αυτόματα από το Microsoft 365 για σκοπούς εφεδρικού συστήματος σε περίπτωση που δεν δημιουργηθεί ένας custom domain.
Καθώς τα μηνύματα προέρχονταν από τον νόμιμο domain onmicrosoft.com, μπορεί να προκάλεσαν την εμφάνιση των ψεύτικων μηνυμάτων υποστήριξης της Microsoft ως αξιόπιστων.
Πρόταση: ΗΠΑ: Κατασχέθηκαν domains που χρησιμοποίησε η APT29 σε πρόσφατη phishing εκστρατεία
Σύμφωνα με τη συμβουλευτική του Redmond, ο απώτερος στόχος των hackers ήταν να κλέψουν τα διαπιστευτήρια των χρηστών που είχαν ως στόχο.
“Σε ορισμένες περιπτώσεις, ο δράστης επιχειρεί να προσθέσει μια συσκευή στον οργανισμό ως διαχειριζόμενη συσκευή μέσω του Microsoft Entra ID (πρώην Azure Active Directory), πιθανότατα σε μια προσπάθεια να παρακάμψει τις πολιτικές πρόσβασης υπό όρους που έχουν ρυθμιστεί για να περιορίζουν την πρόσβαση σε συγκεκριμένους πόρους μόνο σε διαχειριζόμενες συσκευές”, πρόσθεσε η Microsoft.
Η εταιρεία αναφέρει ότι έχει εμποδίσει με επιτυχία τη ρωσική ομάδα hackers να χρησιμοποιήσει τα domains σε άλλες επιθέσεις και τώρα εργάζεται ενεργά για την αντιμετώπιση και τον μετριασμό των επιπτώσεων της εκστρατείας.
Δεν είναι όλα τα σφάλματα ίδια
Τον περασμένο μήνα, η Microsoft αρνήθηκε να αντιμετωπίσει ένα ζήτημα ασφαλείας στο Microsoft Teams που μπορεί να επιτρέψει σε οποιονδήποτε να παρακάμψει τους περιορισμούς για τα εισερχόμενα αρχεία από εξωτερικούς μισθωτές χρησιμοποιώντας ένα εργαλείο Python με την ονομασία TeamsPhisher. Όταν το JumpSec ανέφερε το σφάλμα τον Ιούνιο, η Microsoft δήλωσε ότι το ελάττωμα “δεν πληροί τον πήχη για άμεση εξυπηρέτηση”.
Το BleepingComputer επικοινώνησε επίσης με τη Microsoft και ενημερώθηκε ότι οι πελάτες θα πρέπει να δίνουν προσοχή στα ύποπτα μηνύματα. Ένας εκπρόσωπος της Microsoft δήλωσε ότι η αναφορά βασίζεται στην κοινωνική μηχανική για να είναι επιτυχής και ενθάρρυνε τους πελάτες να εφαρμόζουν καλές υπολογιστικές συνήθειες στο διαδίκτυο.
Δυστυχώς, η επίθεση κοινωνικής μηχανικής του APT29 επηρέασε και κυβερνητικές υπηρεσίες, υπογραμμίζοντας τις σημαντικές επιπτώσεις που μπορούν να έχουν τέτοιες επιθέσεις.
Οι χάκερ των ξένων μυστικών υπηρεσιών της Ρωσίας
Το APT29, το τμήμα hacking της Ρωσικής Υπηρεσίας Πληροφοριών Εξωτερικού (SVR), ενορχήστρωσε την επίθεση στην αλυσίδα εφοδιασμού της SolarWinds που οδήγησε στην παραβίαση πολλών ομοσπονδιακών υπηρεσιών των ΗΠΑ πριν από τρία χρόνια. Έκτοτε, αυτή η ομάδα χάκερ έχει επίσης διεισδύσει στα δίκτυα άλλων οργανισμών χρησιμοποιώντας κρυφό malware. Πιο πρόσφατα, η Microsoft αποκάλυψε ότι η ομάδα χάκερ χρησιμοποιεί νέο malware ικανό να καταλάβει τον έλεγχο των Active Directory Federation Services (ADFS) για να συνδεθεί ως οποιοσδήποτε χρήστης σε συστήματα Windows. Έχουν στοχεύσει λογαριασμούς Microsoft 365 που ανήκουν σε οντότητες σε χώρες του ΝΑΤΟ και βρίσκονταν πίσω από μια σειρά εκστρατειών phishing που στόχευαν κυβερνήσεις, πρεσβείες και υψηλόβαθμους αξιωματούχους σε όλη την Ευρώπη.
Διαβάστε επίσης: Το Android malware CherryBlos κλέβει password χρησιμοποιώντας OCR
πηγή πληροφοριών:bleepingcomputer.com