Microsoft je u srijedu otkrio da je identifikovao skup visoko ciljanih napada socijalnog inženjeringa koje je pokrenuo haker koristeći mamce za krađu akreditiva poslanih kao Microsoft Teams chat.
Tehnološki div pripisao je napade grupi koju prati kao Midnight Blizzard (prethodno Nobelium). Takođe se zove APT29, BlueBravo, Cosy Bear, Iron Hemlock i The Dukes.
“U ovoj najnovijoj aktivnosti, haker koristi prethodno kompromitovane Microsoft 365 zakupce u vlasništvu malih preduzeća za kreiranje novih domena koji se pojavljuju kao subjekti tehničke podrške,” navodi kompanija.
„Koristeći ove domene kompromitovanih zakupaca, Midnight Blizzard koristi poruke timova da pošalje mamce koji pokušavaju da ukradu akreditive od ciljane organizacije angažovanjem korisnika i dobijanjem odobrenja višefaktorskih upita za autentifikaciju (MFA).“
Microsoft je rekao da je kampanja, koja se prati najmanje od kraja maja 2023. godine, uticala na manje od 40 organizacija širom svijeta koje obuhvataju vladine i nevladine organizacije (NVO), IT usluge, tehnologiju, diskretnu proizvodnju i medijske sektore.
Uočeno je da haker koristi tehnike krađe tokena za početni pristup ciljanim okruženjima, zajedno s drugim metodama kao što su phishing autentifikacije, sprej lozinke i napadi grubom silom.
Još jedno poznato obilježje je njegova eksploatacija lokalnih okruženja za bočni prelazak u oblak, kao i zloupotreba lanca poverenja provajdera usluga da bi se dobio pristup kupcima koji se nalaze u nizu, kao što je primećeno u haku SolarWinds-a 2020. godine.
U novoj rundi napada povezanih s Midnight Blizzardom, nova poddomena onmicrosoft.com dodaje se zakupcu koji je prethodno bio kompromitovan u napadima, nakon čega slijedi kreiranje novog korisnika sa tom poddomenom kako bi pokrenuo Teams zahtjev za ćaskanje s potencijalnim metama maskirajući se kao tehnička osoba za podršku ili Microsoftov tim za zaštitu identiteta.
“Ako ciljni korisnik prihvati zahtjev za porukom, korisnik tada prima poruku Microsoft Teams-a od hakera koji ga pokušava uvjeriti da unese kod u aplikaciju Microsoft Authenticator na svom mobilnom uređaju”, objasnio je Microsoft.
Ako žrtva slijedi upute, hakeru se dodijeli token za autentifikaciju kao ciljani korisnik, čime se omogućava preuzimanje računa i naknadna aktivnost nakon kompromitacije.
“U nekim slučajevima, haker pokušava dodati uređaj u organizaciju kao upravljani uređaj putem Microsoft Entra ID-a (ranije Azure Active Directory), što je vjerovatno pokušaj da se zaobiđu uvjetne politike pristupa konfigurisane da ograničavaju pristup određenim resursima samo na upravljane uređaje“, upozorio je Microsoft.
Nalazi su došli nekoliko dana nakon što su hakeru pripisani phishing napadi usmjereni na diplomatske entitete širom istočne Evrope s ciljem isporučivanja novog backdoor-a pod nazivom GraphicalProton.
Oni također prate otkriće nekoliko novih vektora napada Azure AD (AAD) Connect koji bi mogli omogućiti malicioznim hakerima da stvore nevidljiva pozadinska vrata krađom kriptografskih heševa lozinki ubacivanjem malicioznog koda u proces sinhronizacije heš i presretanja kredencijala putem protivnika – napad u sredini (AitM).
“Na primjer, hakeri mogu iskoristiti ekstrakciju NT heševa kako bi osigurali da primaju svaku buduću promjenu lozinke na domeni”, navodi Sygnia u izjavi podijeljenoj za The Hacker News.
“Učesnici prijetnji takođe mogu koristiti [Active Directory Certificate Services] da dobiju lozinke za AAD Connector, kao i da služe kao čovjek u sredini i pokrenu napade na SSL šifrirane kanale u mreži iskorištavanjem pogrešnih konfiguracija u template-ima certifikata koji imaju autentikacija servera.”
Izvor: The Hacker News