.
Uma infame gangue apoiada pelo Kremlin tem usado os bate-papos do Microsoft Teams em tentativas de phishing em governos, ONGs e empresas de TI, de acordo com a gigante do Windows.
Em sua mais recente onda de crimes, uma equipe que a Microsoft Threat Intelligence agora rastreia como Midnight Blizzard usa inquilinos do Microsoft 365 anteriormente comprometidos para criar domínios que se disfarçam de organizações que oferecem suporte técnico. A gangue então usa esses domínios para enviar mensagens de bate-papo do Teams aos alvos, na esperança de que eles sigam links para páginas da Web que falsifiquem suas credenciais – basicamente enganam as vítimas para que insiram seus detalhes de login.
A Microsoft costumava chamar esse grupo Nobelium, enquanto outros pesquisadores de segurança rastreiam a gangue russa como APT29 ou Cozy Bear. Este grupo, ligado ao Serviço de Inteligência Estrangeira da Rússia, é a tripulação acusada de comprometer o Comitê Nacional Democrata antes da eleição de 2016 e conseguiu o SolarWinds ataque à cadeia de suprimentos.
“Nossa investigação atual indica que esta campanha afetou menos de 40 organizações globais únicas”, disse Redmond em um escrever.
“As organizações visadas nesta atividade provavelmente indicam objetivos de espionagem específicos da Midnight Blizzard direcionados ao governo, organizações não governamentais (ONGs), serviços de TI, tecnologia, manufatura discreta e setores de mídia”.
Como em qualquer campanha de phishing, esta começa com uma isca – alguém de fora da organização da vítima alegando ser do suporte técnico ou de uma equipe de segurança. Se a vítima aceitar a solicitação dos malfeitores para bater um papo, o phisher tentará induzir o alvo a inserir um código no aplicativo autenticador da Microsoft em seu dispositivo móvel, dando ao criminoso um token para se autenticar como a vítima e assumir a conta 365 do usuário. para pilhar as informações dentro.
“Em alguns casos, o ator tenta adicionar um dispositivo à organização como um dispositivo gerenciado por meio do Microsoft Entra ID (anteriormente Azure Active Directory), provavelmente uma tentativa de contornar as políticas de acesso condicional configuradas para restringir o acesso a recursos específicos apenas para dispositivos gerenciados, ” A equipe de inteligência de ameaças da Microsoft explicou.
A Microsoft também forneceu orientações para ajudar as organizações a identificar os usuários visados por essas iscas de phishing do Teams, bem como uma lista de subdomínios controlados pela Midnight Blizzard.
Embora aplaudamos Redmond por se antecipar aos mais recentes esforços criminosos para comprometer contas, o momento é infeliz, pois a gigante do Windows já está lutando contra vários outros incêndios de segurança que afetam seus produtos e usuários.
Em julho, a Microsoft admitiu que espiões chineses invadiu Contas de e-mail do Exchange Online, incluindo aquelas pertencentes ao Departamento de Estado dos EUA e ao Departamento de Comércio dos EUA.
Na semana passada, o senador norte-americano Ron Wyden (D-OR) culpou a Microsoft em termos contundentes pelo incidente e exigiu que três agências governamentais separadas iniciassem investigações e responsabilizassem Redmond por “práticas negligentes de segurança cibernética”.
Então, na quarta-feira, o Comitê de Supervisão e Responsabilidade da Câmara dos EUA abriu uma investigação sobre a espionagem cibernética chinesa em agências governamentais.
Em cartas separadas enviadas ao Secretário de Estado Antony Blinken [PDF] e a Secretária de Comércio Gina Raimondo [PDF]cuja conta de e-mail da Microsoft estava entre as comprometidas, os legisladores disseram que as invasões do governo “refletem um novo nível de habilidade e sofisticação dos hackers da China”.
“O incidente ainda levanta a possibilidade de que hackers chineses possam acessar redes de computadores de alto nível e permanecer indetectáveis por meses, senão anos”, continuam as cartas.
Os funcionários eleitos solicitaram briefings aos funcionários de ambas as agências federais “o mais rápido possível, mas não depois de 9 de agosto” e disseram que querem saber detalhes sobre a descoberta e o impacto da invasão, como cada departamento respondeu e o que estão fazendo para evitar falhas futuras. ®
.
