Un groupe de piratage li au gouvernement russe a vis des dizaines d’organisations mondiales avec une campagne visant voler les identifiants de connexion en engageant des utilisateurs dans des discussions Microsoft Teams prtendant provenir du support technique, ont dclar des chercheurs de Microsoft. Ces attaques d’ingnierie sociale « hautement cibles » ont touch « moins de 40 organisations mondiales uniques » depuis fin mai, ont dclar des chercheurs de Microsoft dans un blog, ajoutant que la socit enqutait.
Les pirates ont configur des domaines et des comptes qui ressemblaient un support technique et ont tent d’engager les utilisateurs de Teams dans des discussions et de les amener approuver les invites d’authentification multifacteur (MFA), ont dclar les chercheurs. Microsoft a empch l’acteur d’utiliser les domaines et continue d’enquter sur cette activit et de travailler pour remdier l’impact de l’attaque , ont-ils ajout.
Microsoft Threat Intelligence a identifi des attaques d’ingnierie sociale trs cibles l’aide de leurres de phishing de vol d’informations d’identification envoys lors des discussions Microsoft Teams par l’acteur menaant que Microsoft suit sous le nom de Midnight Blizzard (prcdemment suivi sous le nom de NOBELIUM). Cette dernire attaque, combine des activits passes, dmontre davantage l’excution continue de ses objectifs par Midnight Blizzard en utilisant la fois des techniques nouvelles et courantes. Dans cette dernire activit, l’auteur de la menace utilise des locataires Microsoft 365 prcdemment compromis appartenant de petites entreprises pour crer de nouveaux domaines qui apparaissent comme des entits de support technique. En utilisant ces domaines de locataires compromis, Midnight Blizzard exploite les messages Teams pour envoyer des leurres qui tentent de voler les informations d’identification d’une organisation cible en engageant un utilisateur et en obtenant l’approbation des invites d’authentification multifactorielle (MFA). Comme pour tout leurre d’ingnierie sociale, nous encourageons les organisations renforcer les meilleures pratiques de scurit pour tous les utilisateurs et souligner que toute demande d’authentification non initie par l’utilisateur doit tre traite comme malveillante.
Teams est la plate-forme de communication d’entreprise propritaire de Microsoft, avec plus de 280 millions d’utilisateurs actifs, selon les tats financiers de janvier de la socit. Les MFA sont une mesure de scurit largement recommande visant empcher le piratage ou le vol d’informations d’identification. Le ciblage des quipes suggre que les pirates trouvent de nouvelles faons de le contourner.
Le groupe de piratage l’origine de cette activit, connu dans l’industrie sous le nom de Midnight Blizzard ou APT29, est bas en Russie et les gouvernements britannique et amricain l’ont li au service de renseignement tranger du pays, ont dclar les chercheurs.
organisations cibles dans cette activit indiquent probablement des objectifs d’espionnage spcifiques par Midnight Blizzard dirigs contre le gouvernement, les organisations non gouvernementales (ONG), les services informatiques, la technologie, la fabrication discrte et les secteurs des mdias , ont-ils dclar, sans nommer aucune des cibles.
Cette dernire attaque, combine des activits passes, dmontre une fois de plus l’excution continue par Midnight Blizzard de ses objectifs en utilisant la fois des techniques nouvelles et courantes , ont crit les chercheurs. Midnight Blizzard est connu pour cibler de telles organisations, principalement aux tats-Unis et en Europe, depuis 2018, ont-ils ajout.
Les pirates ont utilis des comptes Microsoft 365 dj compromis appartenant de petites entreprises pour crer de nouveaux domaines qui semblaient tre des entits de support technique et contenaient le mot « microsoft », selon les dtails du blog Microsoft. Les comptes lis ces domaines ont ensuite envoy des messages de phishing pour appter les gens via Teams, ont dclar les chercheurs.
Source : Microsoft
Et vous ?
Votre organisation a-t-elle dj t victime d’attaques phishing par Teams ?
Que pensez-vous des mesures de protection proposes pour scuriser Teams ?
Sont-elles dj mises en place au sein de votre entreprise ?
Voir aussi :
Le nombre d’utilisateurs de Microsoft 365 augmente rapidement, les risques lis son utilisation aussi, par Damien Frey, Country Manager France, chez Varonis
Les cyberattaques mondiales ont augment de 38 % en 2022, celles en Europe ont augment de 26 %, la France a connu une augmentation de 19 % des cyberattaques, selon Checkpoint
Google introduit les domaines de premier niveau .zip et .mov et suscite des proccupations en matire de scurit sur Internet, ils pourraient tre utiliss dans des attaques par hameonnage
Malgr le correctif de Microsoft dans son serveur de messagerie Exchange, le gouvernement US met en garde contre la « menace active qui continue de se dvelopper » et appelle l’action