Microsoft expone las tácticas de phishing de los piratas informáticos rusos a través de los chats de Microsoft Teams
Microsoft reveló el miércoles que identificó un conjunto de ataques de ingeniería social altamente dirigidos montados por un actor de amenazas de un estado-nación ruso utilizando señuelos de phishing de robo de credenciales enviados como chats de Microsoft Teams.
“En esta última actividad, el actor de amenazas utiliza inquilinos de Microsoft 365 previamente comprometidos propiedad de pequeñas empresas para crear nuevos dominios que aparecen como entidades de soporte técnico”, dijo la compañía.
“Mediante el uso de estos dominios de inquilinos comprometidos, Midnight Blizzard aprovecha los mensajes de Teams para enviar señuelos que intentan robar credenciales de una organización objetivo al involucrar a un usuario y obtener la aprobación de las solicitudes de autenticación de múltiples factores (MFA)”.
Se ha observado que el actor de amenazas utiliza técnicas de robo de tokens para el acceso inicial a entornos específicos, junto con otros métodos como el phishing de autenticación, el rociado de contraseñas y los ataques de fuerza bruta.
Otro sello distintivo conocido es su explotación de entornos locales para moverse lateralmente a la nube, así como el abuso de la cadena de confianza de los proveedores de servicios para obtener acceso a clientes intermedios, como se observó en el hackeo de SolarWinds de 2020 .
En la nueva ronda de ataques vinculados a Midnight Blizzard, se agrega un nuevo subdominio onmicrosoft.com a un inquilino previamente comprometido en ataques, seguido de la creación de un nuevo usuario con ese subdominio para iniciar una solicitud de chat de Teams con objetivos potenciales haciéndose pasar por un técnico persona de soporte o el equipo de Protección de Identidad de Microsoft.
