A gigante do software Microsoft soou na quarta-feira um alarme depois de pegar um conhecido grupo de hackers ligado ao governo russo usando seu aplicativo de bate-papo Microsoft Teams para phishing de credenciais em organizações visadas.
De acordo com um relatório de pesquisa da equipe de Inteligência de Ameaças de Redmond, a equipe de hackers está ligada ao Serviço de Inteligência Estrangeira da Federação Russa (também conhecido como SVR) e foi pega visando o governo, organizações não governamentais (ONGs), serviços de TI, tecnologia, manufatura discreta, e setores da mídia.
A Microsoft sinalizou o ator como ‘Midnight Blizzard’ (anteriormente Nobelium) e avisa que o grupo está usando inquilinos já hackeados do Microsoft 365 pertencentes a pequenas empresas para criar novos domínios que aparecem como entidades de suporte técnico.
Usando esses domínios de locatários comprometidos, os pesquisadores descobriram que os hackers usam mensagens do Microsoft Teams para enviar iscas que tentam roubar credenciais de uma organização visada envolvendo um usuário e obtendo a aprovação de prompts de autenticação multifator (MFA).
A empresa disse que rastreou o alvo para “menos de 40 organizações globais únicas”, sugerindo uma operação de ciberespionagem altamente cirúrgica contra alvos nos EUA e na Europa.
Os pesquisadores da Microsoft forneceram a documentação técnica do mais novo ataque de phishing de credenciais que inclui o uso de nomes de domínio com tema de segurança em iscas.
Do relatório:
“Para facilitar o ataque, o ator usa locatários do Microsoft 365 pertencentes a pequenas empresas que eles comprometeram em ataques anteriores para hospedar e lançar seu ataque de engenharia social. O ator renomeia o inquilino comprometido, adiciona um novo subdomínio onmicrosoft.com e, em seguida, adiciona um novo usuário associado a esse domínio do qual enviará a mensagem de saída para o inquilino de destino.
O agente usa palavras-chave com tema de segurança ou de nome de produto para criar um novo subdomínio e um novo nome de inquilino para dar legitimidade às mensagens. Esses ataques precursores para comprometer locatários legítimos do Azure e o uso de nomes de domínio homóglifos em iscas de engenharia social fazem parte de nossa investigação em andamento. A Microsoft mitigou o ator de usar os domínios.”
A Microsoft disse que a equipe de hackers parece ter obtido credenciais de conta válidas para os usuários que visam, ou estão mirando em usuários com autenticação sem senha configurada em sua conta – ambos exigem que o usuário digite um código que é exibido durante o fluxo de autenticação em o prompt no aplicativo Microsoft Authenticator em seu dispositivo móvel.
“Depois de tentar autenticar em uma conta em que essa forma de MFA é necessária, o ator recebe um código que o usuário precisa inserir em seu aplicativo autenticador. O usuário recebe o prompt para inserir o código em seu dispositivo. O ator então envia uma mensagem para o usuário-alvo pelo Microsoft Teams, solicitando que o usuário insira o código no prompt de seu dispositivo”, explicaram os pesquisadores.
Se o usuário de destino aceitar a solicitação de mensagem e inserir o código no aplicativo Microsoft Authenticator, o grupo APT obterá um token para autenticar como o usuário de destino.
“O ator obtém acesso à conta do Microsoft 365 do usuário, tendo concluído o fluxo de autenticação.”
Depois que o hack for concluído, a Microsoft disse que observou atividade pós-compromisso que inclui roubo de informações do locatário do Microsoft 365 comprometido. Em alguns casos, o ator tenta adicionar um dispositivo à organização como um dispositivo gerenciado por meio do Microsoft Entra ID (anteriormente Azure Active Directory), provavelmente uma tentativa de contornar as políticas de acesso condicional configuradas para restringir o acesso a recursos específicos apenas para dispositivos gerenciados.