Microsoft avertit les utilisateurs de Teams d’une nouvelle attaque de phishing soutenue par la Russie

Microsoft a signalé une nouvelle attaque de phishing d’informations d’identification organisée par l’acteur de menace basé en Russie connu sous le nom de Midnight Blizzard (ou NOBELIUM). Cette dernière attaque cible les organisations du gouvernement, les organisations non gouvernementales (ONG), les services informatiques, la technologie, la fabrication discrète et les secteurs des médias.

Selon Microsoft, la campagne utilise des comptes Microsoft 365 compromis appartenant à de petites entreprises pour enregistrer des domaines se faisant passer pour des entités de support technique. Les acteurs envoient ensuite des leurres de phishing via le chat Teams, se faisant passer pour ces entités.

Pour faciliter leur attaque, l’acteur utilise des locataires Microsoft 365 appartenant à de petites entreprises qu’ils ont compromises lors d’attaques précédentes pour héberger et lancer leur attaque d’ingénierie sociale. L’acteur renomme le locataire compromis, ajoute un nouveau sous-domaine onmicrosoft.com, puis ajoute un nouvel utilisateur associé à ce domaine à partir duquel envoyer le message sortant au locataire cible.

L’objectif est d’inciter les utilisateurs ciblés à approuver les invites d’authentification multifacteur (MFA) , permettant aux attaquants de voler les identifiants de connexion. Microsoft affirme que moins de 40 organisations dans le monde ont été touchées jusqu’à présent.

La plate-forme Teams de Microsoft a attiré une base d’utilisateurs importante dans l’industrie informatique, avec plus de 280 millions d’utilisateurs actifs .

Les organisations ciblées dans cette activité indiquent probablement des objectifs d’espionnage spécifiques par Midnight Blizzard dirigés contre le gouvernement, les organisations non gouvernementales (ONG), les services informatiques, la technologie, la fabrication discrète et les secteurs des médias.

Cela montre la persistance de Midnight Blizzard à poursuivre des objectifs d’espionnage par le biais de l’ingénierie sociale malgré des démontages répétés . Leurs techniques incluent le vol d’informations d’identification par hameçonnage et l’exploitation de la confiance entre les fournisseurs de cloud et les clients.

Microsoft a désactivé les domaines malveillants et continue de surveiller la campagne. Ils ont informé les clients concernés pour aider à sécuriser les environnements.

Midnight Blizzard, suivi par certains comme APT29, UNC2452 et Cozy Bear, a été attribué à l’agence de renseignement russe SVR. Leurs « campagnes de cyberespionnage » se concentrent généralement sur des cibles gouvernementales, diplomatiques et d’ONG aux États-Unis et en Europe.

Pendant ce temps, Microsoft a rapporté en juillet qu’un groupe de pirates chinois avait eu accès aux comptes de messagerie du gouvernement aux États-Unis et en Europe. Et puis, le sénateur américain Ron Wyden a demandé au ministère de la Justice, à la Federal Trade Commission et à la Cybersecurity and Infrastructure Security Agency (CISA) d’enquêter sur le piratage des comptes de messagerie Microsoft.

Microsoft exhorte les organisations à appliquer les meilleures pratiques de sécurité et à traiter les invites d’authentification non sollicitées comme suspectes.