Orosz hackerek a Microsoft Teams platformon adatlopási kísérletekben

A Microsoft állítása szerint egy orosz hackercsoport, mely állítólagosan a kormánnyal áll kapcsolatban, a Microsoft Teams platformot használja adatgyűjtésre különböző entitásoknál.

Microsoft Értesítés

A Microsoft a múlt héten hozta nyilvánosságra, hogy egy ismert, orosz kormányzati háttérrel rendelkező hackercsoport a Teams platformot veszi célba az információk eltulajdonítására.

Az elemzések, amiket a Redmondi Veszélyértékelő Egység végez, arra utalnak, hogy a támadók a SVR-nek, az orosz Hírszerzési Szolgálatnak lehetnek a tagjai. Számos támadást hajtottak végre kormányzati, média és technológiai cégek ellen.

Éjféli Hóvihar Aktivitásai

Az ‘Éjféli Hóvihar’ névre hallgató csoportot a Microsoft korábban Nobeliumként azonosította. Rávilágítottak, hogy a csoport kompromittált Microsoft 365 fiókokat használt vállalkozások megtévesztésére és új, hivatalosnak tűnő domainek létrehozására.

Ezekkel a hamis domainekkel a hackerek a Teams platformon keresztül próbáltak adatokhoz hozzáférni, a felhasználói interakciókat és az MFA hitelesítést kijátszva.

Az érintett támadások száma 40-nél kevesebb, mely arra utal, hogy egy jól irányzott, célzott kibertámadás sorozatról beszélünk, melynek fő területe az USA és Európa.

A támadás mélyebb vizsgálata

A Microsoft szakértői részletes technikai jelentést is készítettek a támadásokról, főként a támadók által használt domainnevekre koncentrálva.

„A támadások sikerességének növelésére az érintett kisvállalkozások Microsoft 365 fiókjait használták. Megváltoztatták a fertőzött fiók nevét, hozzáadva egy ‘onmicrosoft.com’ aldomaint, majd új felhasználót hoztak létre ezen a domainen, melyről üzeneteket küldtek a kiszemelt célpontoknak.”

Sikeres támadás esetén a hackerek hozzáférést szereznek a célpont Microsoft 365 fiókjához és más kapcsolódó szolgáltatásokhoz, megkerülve az azonosítási eljárást.

A támadás végrehajtása után képesek az adatok eltulajdonítására, és hozzáférhetnek más Microsoft 365 alapú szolgáltatásokhoz, például az Azure-hoz.

Megelőzés és következmények

A Microsoft kijelentette, hogy észrevették a támadásokat és az információk megszerzését. Egyes esetekben a támadó próbálkozott eszközök hozzáadásával a céges hálózathoz, amelyek a Microsoft Entra ID-n keresztül működnek. Ezzel a támadó képes kijátszani azokat a hozzáférési szabályokat, melyek csak engedélyezett eszközökkel működnek.

A vállalat aktívan dolgozik a támadások felismerésén és blokkolásán, és javasolja, hogy a felhasználók mindig legyenek éberek és óvatosak minden gyanús üzenettel és kérelemmel kapcsolatban.

Forrás: www.securityweek.com