Ruskí hackeri znova vyčíňajú. Midnight Blizzard útočia hlavne na tieto ciele, hlási Microsoft!
Microsoft informuje o novej hackerskej kampani, ktorá si vyberá hlavne organizácie. Pri útoku sa vydávajú za technickú podporu. No nie sú im cudzie ani iné metódy.
Bezpečnostní experti z Microsoftu odhalili nový druh kyberútoku, ktorý sa šíri cez platformu Microsoft Teams. Útoky sú mimoriadne cielené a využívajú metódy sociálneho inžinierstva, aby sa cez phishing dostali k prihlasovacím údajom. Za útokmi stojí skupina, ktorú Microsoft označuje ako Midnight Blizzard (predtým bola známa ako NOBELIUM).
Microsoft has identified highly targeted social engineering attacks by the threat actor Midnight Blizzard (previously NOBELIUM) using credential theft phishing lures sent as Microsoft Teams chats. Get detailed analysis, IOCs, and recommendations: https://t.co/1Ywtrlnme6
— Microsoft Threat Intelligence (@MsftSecIntel) August 2, 2023
Kyberútoky sa vyznačujú kombináciou nových a zaužívaných taktík. V predchádzajúcich útokoch vytvorili niekoľko falošných domén vydávajúcich sa za technickú podporu. Midnight Blizzard zároveň ukradol účty v službe Microsoft 365, ktoré patrili majiteľom malých podnikov. Cez tieto účty vykonávali ďalšie útoky na platforme Teams, ktorých cieľom bolo od obetí získať prihlasovacie údaje. Ako sme už spomínali, útoky boli mimoriadne cielené a v tomto prípade sa kyberzločinci zameriavali na vybrané organizácie.
Bezpečnostní experti tvrdia, že do dnešného dňa tieto útoky postihli niečo málo pod 40 globálnych organizácií. Forma útokov naznačuje, že hackeri majú špionážne ciele, ktoré sa týkajú vládnych aj mimovládnych organizácií, poskytovateľov IT služieb či médií. Microsoft zabránil kyberzločincom v používaní falošných domén a momentálne vyšetruje aktivitu skupiny Midnight Blizzard.
Skupina je aktívnou už niekoľko rokov
Midnight Blizzard je hackerská skupina ktorá operuje z Ruska a z minulých útokov vieme, že cieli hlavne na vládne organizácie, diplomatické entity, mimovládne organizácie a IT služby v Spojených štátoch a Európe. Zameriavajú sa hlavne na dlhodobé špionážne kampane a ich aktivitu môžeme pozorovať od roku 2018. Typicky sa zameriavajú na kompromitovanie platných účtov, no vo výnimočných prípadoch používajú aj pokročilé techniky na narušenie autentifikačných mechanizmov v organizácií, aby si rozšírili prístup a vyhli sa odhaleniu.
Neprehliadnite
Čo sa týka útokov skupiny, tie sú konzistentné a ciele sa len výnimočne zvyknú meniť. Do siete organizácií sa väčšinou dostávajú cez ukradnuté prihlasovacie údaje alebo aj malvér FOGGYWEB a MAGICWEB.
Ako útok prebieha?
V prvotnej fáze útoku dostane obeť na platforme Teams žiadosť o kontakt, ktorá pochádza od útočníka vydávajúceho sa za technickú podporu alebo člena bezpečnostného tímu. Ak obeť žiadosť prijme, útočník sa ju snaží presvedčiť, aby zadala kód do aplikácie Microsoft Authenticator na smartfóne.
Po zadaní kódu získava útočník schopnosť autentifikovať sa ako obeť. V praxi to znamená, že útočník získava prístup do Microsoft 365 účtu obete. Následne útočník kradne informácie, ktoré nájde na tomto účte. Niekedy sa môže útočník pokúsiť pridať svoje zariadenie do zoznamu spravovaných zariadení organizácie. Ak sa to podarí, potom môže útočník obísť obmedzenia k citlivým súborom, ku ktorým majú prístup len spravované zariadenia.
Bezpečnostní analytici dopĺňajú, že hackeri využívajú ale aj iné metódy, ako je napríklad „útok hrubou silu“. Pri tomto type útoku útočník skúša rôzne kombinácie prihlasovacích údajov. Rovnako využívajú aj cielený phishing, aby oklamali obeť.
Hlavným cieľom sú nateraz organizácie
Nová hackerská kampaň cieli primárne na organizácie. Na zlepšenie celkovej bezpečnosti Microsoft odporúča vzdelávať zamestnancov v oblasti sociálneho inžinierstva a bežných taktík, ktoré podvodníci môžu využívať. Zároveň sa odporúča aby zamestnanci sledovali svoju aktivitu a ak sa objaví zvláštne prihlásenie sa do systému, aby toto prihlásenie označili ako podozrivé. Organizácie by tiež mali voliť autentifikačné metódy odolné proti phishingu.
Najnovší vzor útokov bol pozorovaný pri škodlivej činnosti od konca mája 2023, uzatvárajú experti na bezpečnosť.
Komentáre