Microsoft ha identificato un sofisticato attacco phishing che sfrutta l’ingegneria sociale per ottenere le credenziali di login dai dipendenti aziendali contattati tramite chat di Teams. Gli autori della campagna sono i cybercriminali del gruppo Midnight Blizzard (noto anche come Nobelium o Cozy Bear) che effettua attività di cyberspionaggio per conto dei servizi segreti della Russia.
Attacco contro Microsoft Teams
Microsoft spiega che i cybercriminali russi utilizzano varie tecniche per ottenere l’accesso iniziale ai sistemi aziendali, tra cui furto di token, spear phishing, password spray e brute force. Per l’attacco più recente è stata utilizzata un’istanza di Microsoft 365 compromessa in precedenti attacchi per lanciare l’attacco di ingegneria sociale.
Il gruppo Midnight Blizzard ha rinominato l’istanza, aggiunto un nuovo sottodominio onmicrosoft.com
e inviato alle vittime un messaggio che sembra provenire dal supporto tecnico o dal team di sicurezza di Microsoft. I cybercriminali chiedono al dipendente di fornire le credenziali di login. Se l’azienda ha attivato l’autenticazione multi-fattore (MFA) è necessario ottenere anche un codice da inserire dopo la coppia username/email e password.
Con il messaggio fasullo viene quindi chiesto di verificare l’identità attraverso l’inserimento di un codice nell’app Microsoft Authenticator. Se l’ignara vittima segue l’indicazione del presunto supporto tecnico, i cybercriminali ottengono l’accesso all’account Microsoft 365. A questo punto possono eseguire altre attività, tra cui il furto di informazioni confidenziali.
Microsoft elenca una serie di misure preventive per evitare intrusioni non autorizzate e diversi consigli, tra cui quello di prestare attenzione ai messaggi provenienti da soggetti esterni all’azienda.