Microsoft, APT29 olarak izlenen ve Rusya'nın Dış İstihbarat Servisi'ne (SVR) bağlı bir hack grubunun, Microsoft Teams kimlik avı saldırılarında devlet kurumları da dahil olmak üzere dünya çapında düzinelerce kuruluşu hedef aldığını söyledi.
Microsoft, "Mevcut araştırmamız, bu kampanyanın 40'dan az benzersiz küresel organizasyonu etkilediğini gösteriyor."
Diyerek şöyle devam etti: "Bu faaliyette hedeflenen kuruluşlar, hükümet, hükümet dışı kuruluşlara (STK'lar), BT hizmetlerine, teknolojiye, ayrık üretim ve medya sektörlerine yönelik gece yarısı kar fırtınası tarafından belirli casusluk hedeflerini göstermektedir."
Tehdit oyuncusu, yeni teknik destek temalı alanlar oluşturmak ve sosyal mühendislik taktiklerini kullanarak hedeflenen kuruluşların kullanıcılarını kandırmaya çalışan teknoloji destek lures göndermek için uzlaşmış Microsoft 365 kiracılarını kullandı.
Kullanıcıları çok faktörlü kimlik doğrulama (MFA) istemleri için onay vermeye yönlendirmeyi ve sonuçta kimlik bilgilerini çalmayı hedeflemeyi amaçladılar.
Saldırganlar, teknik destek temasına sahip tehlikeye atılmış Microsoft 365 kiracılarını kullanarak yeni alanlar oluşturdular. Bu yeni alanlar, özel bir etki alanı oluşturulmaması durumunda Microsoft 365 tarafından geri dönüş amaçlı otomatik olarak kullanılan meşru bir Microsoft alan adı olan 'Onmicrosoft.com' alanının bir parçasıydı.
Daha sonra, hedeflenen kuruluşlardan kullanıcıları çok faktörlü kimlik doğrulama (MFA) istemlerini onaylamak için teknoloji destek yemleri göndermek için bu alan adlarını kullandılar.
Mesajlar meşru Onmicrosoft.com alanından geldikçe, sahte Microsoft destek mesajlarının güvenilir görünmesine neden olabilirler.
Redmond'un danışmanlığına göre, tehdit aktörlerinin nihai amacı hedeflenen kullanıcıların kimlik bilgilerini çalmaktı.
"Bazı durumlarda, aktör Microsoft Entra Kimliği (eski adıyla Azure Active Directory) aracılığıyla yönetilen bir cihaz olarak kuruluşa bir cihaz eklemeye çalışır, muhtemelen belirli kaynaklara erişimi yalnızca yönetilen cihazlara kısıtlamak için yapılandırılmış koşullu erişim politikalarını atlatmaya çalışır, "Microsoft ekledi.
Şirket, Rus Tehdit Grubu'nun diğer saldırılarda alanları kullanmasını başarıyla engellediğini ve şimdi kampanyanın etkisini ele almak ve azaltmak için aktif olarak çalışıyor.
Geçen ay Microsoft, Microsoft Teams'teki (JUMPSEC güvenlik araştırmacıları tarafından keşfedildi) bir güvenlik sorununa, herkesin Donan'ın kırmızı ekip üyesi Alex Reid tarafından geliştirilen TeamSphisher adlı bir Python aracı kullanan harici kiracılardan gelen dosyalar için kısıtlamaları atlamasına izin vermeyi reddetti. .
Jumpsec Haziran ayında hatayı bildirdiğinde, Microsoft kusurun "derhal servis için çıtayı karşılamadığını" söyledi.
BleepingComputer ayrıca bu sorunu çözmek için herhangi bir plan olup olmadığını sormak için Microsoft ile temasa geçti ve müşterilerin şüpheli mesajlara dikkat etmeleri gerektiği söylendi.
Bir Microsoft sözcüsü BleepingComputer'a verdiği demeçte, "Bu raporun farkındayız ve başarılı olmanın sosyal mühendisliğe dayandığını belirledik." Dedi.
"Müşterileri, web sayfalarına bağlantıları tıklarken, bilinmeyen dosyaları açmak veya dosya transferlerini kabul etmek de dahil olmak üzere iyi bilgi işlem alışkanlıkları uygulamaya teşvik ediyoruz."
Ne yazık ki, APT29'un sosyal mühendislik saldırısı, devlet kurumlarını da etkiledi ve bu saldırıların iyi korunan kuruluşlar üzerinde bile sahip olabileceği önemli etkiyi vurguladı.
Rusya Dış İstihbarat Servisi (SVR) hackleme bölümü APT29, üç yıl önce birkaç ABD federal ajansının ihlaline yol açan Solarwinds tedarik zinciri saldırısını düzenledi.
Bu olaydan bu yana, bu hackleme grubu, Trailblazer ve Goldmax Linux Backdoor'un bir çeşidi de dahil olmak üzere gizli kötü amaçlı yazılımları kullanarak diğer kuruluşların ağlarına sızdı ve bu da yıllarca tespit edilmemelerine izin verdi.
Daha yakın zamanlarda Microsoft, Hacking Group'un Windows sistemlerindeki herhangi bir kullanıcı olarak oturum açmak için Active Directory Federasyon Hizmetleri'nin (ADFS) kontrolünü ele geçirebilen yeni kötü amaçlı yazılım kullandığını açıkladı.
Ayrıca, dış politika ile ilgili bilgilere erişim çabalarının bir parçası olarak NATO ülkelerindeki kuruluşlara ait Microsoft 365 hesaplarını hedeflediler.
Ayrıca, Avrupa'daki hükümetleri, elçilikleri ve üst düzey yetkilileri açıkça hedefleyen bir dizi kimlik avı kampanyasının arkasındaydılar.
Rus devlet bilgisayar korsanları BMW otomobil reklamlarıyla batı diplomatlarını cezbeder
Microsoft, yeni özelliklerle Windows 11 kimlik avı korumasını geliştirir
Genesis Pazarı Altyapı ve Envanter Hacker Forum'da SATILDI
Yeni Tool, kullanıcılara kötü amaçlı yazılım göndermek için Microsoft Teams hatasını kullanıyor
Masif Kimlik Yardım Kampanyası 100 markayı taklit etmek için 6.000 site kullanıyor
Kaynak: Bleeping Computer