Midnight Blizzard forvirrer Microsoft 365

Midnight Blizzard forvirrer Microsoft 365

Introduksjon

I en nylig rapport fra Microsoft Threat Intelligence har trusselaktøren kjent som Midnight Blizzard (tidligere sporet som NOBELIUM) blitt identifisert som utfører svært målrettede sosialtekniske angrep ved hjelp av phishing-lokker for legitimasjonstyveri sendt gjennom Microsoft Teams-chatter. Denne siste kampanjen viser trusselaktørens fortsatte innsats for å nå sine mål gjennom en kombinasjon av nye og kjente teknikker.

Hvem er Midnight Blizzard?

Midnight Blizzard er en Russland-basert gruppe kjent som Foreign Intelligence Service of the Russian Federation, eller SVR, ifølge amerikanske og britiske myndigheter. De er kjent av andre sikkerhetsleverandører som Cozy Bear, UNC2452 og APT29T-arvtaktikk involverer langsiktig og dedikert spionasje som dateres tilbake til minst tidlig 2018, avhengig av ulike innledende tilgangsmetoder, for eksempel stjålet legitimasjon, forsyningskjedeangrep og utnyttelse av lokale og skymiljøer.

Hva innebærer deres angrepskampanje?

Microsofts undersøkelse har indikert at færre enn 40 globale organisasjoner har blitt påvirket av denne siste kampanjen. De målrettede sektorene antyder at Midnight Blizzards mål primært dreier seg om spionasjeaktiviteter, med fokus på: 

  • Regjeringer 
  • Ikke-statlige organisasjoner (NGOer) 
  • IT-tjenester 
  • Teknologi 
  • Diskret produksjon 
  • Mediesektorer  

Denne kampanjen omfatter bruk av tidligere kompromitterte Microsoft 365-leiere eid av små bedrifter til å opprette nye domener som vises som enheter for teknisk støtte. Midnight Blizzard utnytter deretter disse domenene til å sende Teams-meldinger som inneholder phishing-lokker som tar sikte på å stjele legitimasjon fra målrettede organisasjoner.  

Angrepskjeden består av trusselaktøren rettet mot brukere med enten gyldig kontolegitimasjon eller kontoer konfigurert med passordløs autentisering. Når brukeren prøver å autentisere gjennom MFA, sender trusselaktøren en Teams-melding, og tvinger brukeren til å skrive inn koden som vises på mobilenhetens Microsoft Authenticator-app. Etter vellykket innføring av koden får trusselaktøren tilgang til brukerens Microsoft 365-konto.

Anbefalinger om skadebegrensning

Microsoft anbefaler flere tiltak for å redusere risikoen for denne trusselen, inkludert: 

  • Distribuere godkjenningsmetoder som er motstandsdyktige mot phishing 
  • Implementering av godkjenningsstyrke for betinget tilgang 
  • Opplæring av brukere om sosial manipulering og legitimasjonsbaserte phishing-angrep

Konklusjon

Etter hvert som trusselen om målrettede sosial manipulering-angrep fortsetter å utvikle seg, må organisasjoner være årvåkne og implementere robuste sikkerhetstiltak for å beskytte dataene og systemene sine mot sofistikerte trusselaktører som Midnight Blizzard. Ved å følge anbefalte fremgangsmåter for sikkerhet og holde seg informert om nye trusler, kan organisasjoner forbedre forsvaret mot potensielle nettangrep.

Les mer om MDR (Managed Detection and Response) 

Bestill Demo MDR NÅ!