微软发现俄罗斯政府黑客利用Teams聊天应用进行网络钓鱼

软件巨头微软周三在发现一个与俄罗斯政府有联系的已知黑客组织使用其 Microsoft Teams 聊天应用程序对目标组织的凭据进行网络钓鱼后发出警报。

根据雷德蒙德威胁情报团队的一份研究报告，该黑客团队与俄罗斯联邦对外情报局（也称为 SVR）有联系，并被发现针对政府、非政府组织 (NGO)、IT 服务、技术、离散制造和媒体行业。

微软已将该攻击者标记为“Midnight Blizzard”（以前称为 Nobelium），并警告称该组织正在利用小型企业拥有的已被黑客入侵的 Microsoft 365 租户来创建以技术支持实体的形式出现的新域。 

研究人员利用来自受感染租户的这些域，发现黑客使用 Microsoft Teams 消息发送诱饵，试图通过吸引用户并获得多因素身份验证 (MFA) 提示的批准来窃取目标组织的凭据。 

该公司表示，已追踪到“不到 40 个独特的全球组织”，这表明针对美国和欧洲目标的网络间谍行动非常精确。

微软的研究人员提供了最新的凭证网络钓鱼攻击的技术文档，其中包括在诱饵中使用安全主题的域名。

“为了方便他们的攻击，攻击者使用他们在之前的攻击中受到损害的小企业拥有的 Microsoft 365 租户来托管和发起他们的社会工程攻击。攻击者重命名受感染的租户，添加新的 onmicrosoft.com 子域，然后添加与该域关联的新用户，从该用户向目标租户发送出站消息。

攻击者使用以安全为主题或以产品名称为主题的关键字来创建新的子域和新的租户名称，以赋予消息合法性。这些危害合法 Azure 租户的先兆攻击以及在社会工程诱饵中使用同形域名是我们正在进行的调查的一部分。微软已经阻止了攻击者使用这些域。”

微软表示，黑客团队似乎已经获得了他们所针对的用户的有效帐户凭据，或者他们的目标用户在其帐户上配置了无密码身份验证，这两者都要求用户输入在身份验证流程中显示的代码移动设备上的 Microsoft Authenticator 应用上的提示。

“在尝试对需要这种形式的 MFA 的帐户进行身份验证后，攻击者会看到用户需要在其身份验证器应用程序中输入的代码。用户会收到在其设备上输入代码的提示。然后，攻击者通过 Microsoft Teams 向目标用户发送消息，引导用户在设备的提示中输入代码。”研究人员解释道。

如果目标用户接受消息请求并将代码输入 Microsoft Authenticator 应用程序，APT 组将获得一个令牌以作为目标用户进行身份验证。 

“攻击者在完成身份验证流程后获得了对用户 Microsoft 365 帐户的访问权限。”

微软表示，黑客攻击完成后，它观察到了受感染后的活动，其中包括从受感染的 Microsoft 365 租户中窃取信息。在某些情况下，攻击者尝试通过 Microsoft Entra ID（以前称为 Azure Active Directory）将设备作为托管设备添加到组织中，这可能是试图规避配置为仅限托管设备访问特定资源的条件访问策略。

原文始发于微信公众号（河南等级保护测评）：微软发现俄罗斯政府黑客利用Teams聊天应用进行网络钓鱼