Les pirates ont configuré des domaines et des comptes qui ressemblaient à un support technique et ont tenté d'engager les utilisateurs de Teams dans des discussions et de les amener à approuver les invites d'authentification multifacteur (MFA), ont déclaré les chercheurs. « Microsoft a empêché l'acteur d'utiliser les domaines et continue d'enquêter sur cette activité et de travailler pour remédier à l'impact de l'attaque », ont-ils ajouté.
Microsoft Threat Intelligence a identifié des attaques d'ingénierie sociale très ciblées à l'aide de leurres de phishing de vol d'informations d'identification envoyés lors des discussions Microsoft Teams par l'acteur menaçant que Microsoft suit sous le nom de Midnight Blizzard (précédemment suivi sous le nom de NOBELIUM). Cette dernière attaque, combinée à des activités passées, démontre davantage l'exécution continue de ses objectifs par Midnight Blizzard en utilisant à la fois des techniques nouvelles et courantes. Dans cette dernière activité, l'auteur de la menace utilise des locataires Microsoft 365 précédemment compromis appartenant à de petites entreprises pour créer de nouveaux domaines qui apparaissent comme des entités de support technique. En utilisant ces domaines de locataires compromis, Midnight Blizzard exploite les messages Teams pour envoyer des leurres qui tentent de voler les informations d'identification d'une organisation ciblée en engageant un utilisateur et en obtenant l'approbation des invites d'authentification multifactorielle (MFA). Comme pour tout leurre d'ingénierie sociale, nous encourageons les organisations à renforcer les meilleures pratiques de sécurité pour tous les utilisateurs et à souligner que toute demande d'authentification non initiée par l'utilisateur doit être traitée comme malveillante.
Le groupe de piratage à l'origine de cette activité, connu dans l'industrie sous le nom de Midnight Blizzard ou APT29, est basé en Russie et les gouvernements britannique et américain l'ont lié au service de renseignement étranger du pays, ont déclaré les chercheurs.
« organisations ciblées dans cette activité indiquent probablement des objectifs d'espionnage spécifiques par Midnight Blizzard dirigés contre le gouvernement, les organisations non gouvernementales (ONG), les services informatiques, la technologie, la fabrication discrète et les secteurs des médias », ont-ils déclaré, sans nommer aucune des cibles.
« Cette dernière attaque, combinée à des activités passées, démontre une fois de plus l'exécution continue par Midnight Blizzard de ses objectifs en utilisant à la fois des techniques nouvelles et courantes », ont écrit les chercheurs. Midnight Blizzard est connu pour cibler de telles organisations, principalement aux États-Unis et en Europe, depuis 2018, ont-ils ajouté.
Les pirates ont utilisé des comptes Microsoft 365 déjà compromis appartenant à de petites entreprises pour créer de nouveaux domaines qui semblaient être des entités de support technique et contenaient le mot "microsoft", selon les détails du blog Microsoft. Les comptes liés à ces domaines ont ensuite envoyé des messages de phishing pour appâter les gens via Teams, ont déclaré les chercheurs.
Source : Microsoft
Et vous ?
Votre organisation a-t-elle déjà été victime d'attaques phishing par Teams ?
Que pensez-vous des mesures de protection proposées pour sécuriser Teams ?
Sont-elles déjà mises en place au sein de votre entreprise ?
Voir aussi :
Le nombre d'utilisateurs de Microsoft 365 augmente rapidement, les risques liés à son utilisation aussi, par Damien Frey, Country Manager France, chez Varonis
Les cyberattaques mondiales ont augmenté de 38 % en 2022, celles en Europe ont augmenté de 26 %, la France a connu une augmentation de 19 % des cyberattaques, selon Checkpoint
Google introduit les domaines de premier niveau .zip et .mov et suscite des préoccupations en matière de sécurité sur Internet, ils pourraient être utilisés dans des attaques par hameçonnage
Malgré le correctif de Microsoft dans son serveur de messagerie Exchange, le gouvernement US met en garde contre la "menace active qui continue de se développer" et appelle à l'action