Aa Aa Aa

Microsoft: за десятками фішингових атак Teams стоять хакери, що пов’язані з Росією

Дмитро Сизов
Microsoft: за десятками фішингових атак Teams стоять хакери, що пов’язані з Росією

Пов’язана з російським урядом хакерська група націлилася на десятки глобальних організацій із кампанією викрадення облікових даних шляхом залучення користувачів до чатів Microsoft Teams, видаючи себе за технічну підтримку, повідомили дослідники Microsoft сьогодні.

Ці «точні цільові» атаки соціальної інженерії вплинули на «менш ніж 40 унікальних глобальних організацій» з кінця травня, повідомили дослідники Microsoft у блозі, додавши , що компанія проводить розслідування.

Російське посольство у Вашингтоні не відразу відповіло на запит про коментар.

За словами дослідників, хакери створили домени та облікові записи, які виглядали як технічна підтримка, і намагалися залучити користувачів Teams до чатів і змусити їх схвалити запити багатофакторної автентифікації (MFA).

«Microsoft заборонила актору використовувати домени та продовжує розслідувати цю діяльність і працювати над усуненням наслідків атаки», — додали вони.

Згідно з фінансовим звітом компанії за січень, Teams — це власна платформа бізнес-комунікації Microsoft, яка налічує понад 280 мільйонів активних користувачів.

MFA є широко рекомендованим заходом безпеки, спрямованим на запобігання злому або крадіжці облікових даних. Націлювання Teams свідчить про те, що хакери знаходять нові способи обійти це.

Хакерська група, яка стоїть за цією діяльністю, відома в індустрії як Midnight Blizzard або APT29, базується в Росії, а уряди Великобританії та США пов’язали її зі службою зовнішньої розвідки країни, кажуть дослідники.

«Організації, націлені на цю діяльність, ймовірно, вказують на конкретні шпигунські цілі Midnight Blizzard, спрямовані проти уряду, неурядових організацій (НУО), ІТ-служб, технологій, дискретного виробництва та медіа-секторів», — сказали вони, не називаючи жодної з цілей.

«Ця остання атака в поєднанні з минулою діяльністю ще більше демонструє те, що Midnight Blizzard продовжує виконувати свої цілі, використовуючи як нові, так і звичайні методи», — пишуть дослідники.

Відомо, що Midnight Blizzard націлена на такі організації, головним чином у США та Європі, починаючи з 2018 року, додали вони.

Згідно з подробицями в блозі Microsoft, хакери використовували вже зламані облікові записи Microsoft 365, що належать малим підприємствам, щоб створити нові домени, які виглядали як організації технічної підтримки та містили в них слово «microsoft». За словами дослідників, облікові записи, прив’язані до цих доменів, надсилали фішингові повідомлення, щоб переманити людей через Teams.