Специалисты Microsoft Threat Intelligence выявили высоконаправленные атаки с использованием социальной инженерии с использованием фишинговых заманух для кражи учетных данных, отправляемых в чаты Microsoft Teams, которые были проведены угрожающей организацией Midnight Blizzard (ранее отслеживалась как NOBELIUM).
Midnight Blizzard
Эта последняя атака в сочетании с предыдущими действиями еще раз демонстрирует, что Midnight Blizzard продолжает реализовывать свои цели, используя как новые, так и уже известные методы. В последней атаке злоумышленники используют ранее скомпрометированных арендаторов Microsoft 365, принадлежащих малым предприятиям, для создания новых доменов, представляющихся службами технической поддержки. Используя домены скомпрометированных арендаторов, Midnight Blizzard с помощью сообщений Teams рассылает "приманки", которые пытаются похитить учетные данные целевой организации, привлекая пользователя и добиваясь от него согласия на запрос многофакторной аутентификации (MFA). Как и в случае с любыми "социальными инженерами", мы рекомендуем организациям разъяснять всем пользователям передовые методы обеспечения безопасности и подчеркивать, что любые запросы на аутентификацию, инициированные не пользователем, должны рассматриваться как вредоносные.
По данным расследования, эта кампания затронула менее 40 уникальных глобальных организаций. Организации, на которые направлена эта активность, скорее всего, указывают на конкретные цели шпионажа со стороны Midnight Blizzard, направленные на правительственные и неправительственные организации (НПО), секторы ИТ-услуг, технологий, дискретного производства и СМИ. Корпорация Microsoft запретила злоумышленникам использовать домены и продолжает расследование этой активности и работу по устранению последствий атаки.
Midnight Blizzard (NOBELIUM) - это российский угрожающий агент, которого правительства США и Великобритании относят к Службе внешней разведки Российской Федерации, известной также как СВР. Известно, что эта угроза направлена в первую очередь на правительства, дипломатические учреждения, неправительственные организации (НПО) и поставщиков ИТ-услуг, главным образом в США и Европе. Их целью является сбор разведывательной информации путем длительного и целенаправленного шпионажа в пользу иностранных интересов, который можно проследить с начала 2018 года. Их операции часто связаны с компрометацией действующих учетных записей, а в некоторых особо целевых случаях - с применением передовых методов взлома механизмов аутентификации в организации для расширения доступа и уклонения от обнаружения.
Midnight Blizzard последовательно и настойчиво проводит свои операции, и их цели редко меняются. Они используют различные методы первоначального доступа, начиная от кражи учетных данных и заканчивая атаками на цепочки поставок, эксплуатацией локальных сред для последующего перехода в "облако", эксплуатацией цепочки доверия поставщиков услуг для получения доступа к нижестоящим клиентам, а также вредоносными программами Active Directory Federation Service (AD FS), известными под названиями FOGGYWEB и MAGICWEB. Midnight Blizzard (NOBELIUM) отслеживается как APT29, UNC2452 и Cozy Bear.
Indicators of Compromise
Domains
- accountsVerification.onmicrosoft.com
- azuresecuritycenter.onmicrosoft.com
- identityVerification.onmicrosoft.com
- msftprotection.onmicrosoft.com
- teamsprotection.onmicrosoft.com