Microsoft Expõe Táticas Sorrateiras de Phishing dos Hackers Russos através do Microsoft Teams Chats
3 de Agosto de 2023

A Microsoft divulgou na quarta-feira que identificou um conjunto de ataques de engenharia social altamente direcionados conduzidos por um agressor de ameaças do Estado-nação Russo usando iscas de phishing para roubo de credenciais enviadas como bate-papos do Microsoft Teams.

A gigante da tecnologia atribuiu os ataques a um grupo que ela rastreia como Midnight Blizzard (anteriormente Nobelium).

Também é chamado de APT29, BlueBravo, Cozy Bear, Iron Hemlock e The Dukes.

"Nesta última atividade, o agente de ameaças usa inquilinos do Microsoft 365 previamente comprometidos pertencentes a pequenas empresas para criar novos domínios que aparecem como entidades de suporte técnico", disse a empresa.

"Usando esses domínios de inquilinos comprometidos, o Midnight Blizzard se beneficia de mensagens do Teams para enviar iscas que tentam roubar credenciais de uma organização alvo ao envolver um usuário e solicitar a aprovação de prompts de autenticação de múltiplos fatores (MFA)."

A Microsoft disse que a campanha, observada pelo menos desde o final de maio de 2023, afetou menos de 40 organizações em todo o mundo, abrangendo governo, organizações não governamentais (ONGs), serviços de TI, tecnologia, manufatura discreta e setores da mídia.

O agressor da ameaça tem sido observado a utilizar técnicas de roubo de token para acesso inicial em ambientes alvo, além de outros métodos como spear-phishing de autenticação, pulverização de senha e ataques de força bruta.

Outra característica conhecida é sua exploração de ambientes locais para movimentação lateral para a nuvem, bem como o abuso de cadeia de confiança de provedores de serviços para obter acesso a clientes downstream, conforme observado no hack do SolarWinds de 2020.

Em uma nova rodada de ataques ligada ao Midnight Blizzard, um novo subdomínio onmicrosoft.com é adicionado a um inquilino previamente comprometido em ataques, seguido pela criação de um novo usuário com esse subdomínio para iniciar uma solicitação de bate-papo do Teams com possíveis alvos se passando por uma pessoa de suporte técnico ou equipe de proteção de identidade da Microsoft.

"Se o usuário alvo aceitar a solicitação de mensagem, o usuário então recebe uma mensagem do Microsoft Teams do agressor tentando convencê-lo a inserir um código no aplicativo Microsoft Authenticator em seu dispositivo móvel", explicou a Microsoft.

Caso a vítima siga as instruções, o agente de ameaças recebe um token para autenticar como o usuário alvo, permitindo assim a tomada de conta e atividade pós-comprometimento.

"Em alguns casos, o agente tenta adicionar um dispositivo à organização como um dispositivo gerenciado via Microsoft Entra ID (anteriormente Azure Active Directory), provavelmente uma tentativa de contornar políticas de acesso condicional configuradas para restringir o acesso a recursos específicos apenas para dispositivos gerenciados", alertou a Microsoft.

As descobertas ocorrem dias após o agente de ameaças ter sido atribuído a ataques de phishing visando entidades diplomáticas em toda a Europa Oriental com o objetivo de entregar uma nova backdoor chamada GraphicalProton.

Eles também seguem a descoberta de vários novos vetores de ataque do Azure AD (AAD) Connect que poderiam permitir que atores cibernéticos mal-intencionados criassem uma backdoor indetectável roubando hashes criptográficos de senhas injetando código malicioso em um processo de sincronização de hash e interceptando credenciais por meio de um ataque adversário no meio (AitM).

"Por exemplo, os invasores podem aproveitar a extração de hashes NT para garantir que eles recebam todas as futuras mudanças de senha no domínio", disse Sygnia em um comunicado compartilhado com The Hacker News.

"Os agentes de ameaças também podem usar [Active Directory Certificate Services] para obter senhas do AAD Connector, bem como atuar como um intermediário e lançar ataques contra canais SSL criptografados na rede, explorando configurações incorretas em modelos de certificado que possuem autenticação de servidor."

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...