Microsoft: Microsoft macht eine mit Russland verbundene Hackergruppe für Teams-Phishing-Angriffe verantwortlich

Microsoft Microsoft macht eine mit Russland verbundene Hackergruppe fuer Teams Phishing Angriffe
Eine Hackergruppe hat mit einer neuen Kampagne mehrere globale Organisationen ins Visier genommen. Mit dieser Kampagne geben sich Angreifer als Mitarbeiter des technischen Supports aus und stehlen Anmeldedaten, indem sie Benutzer einbinden Microsoft-Teams Chats. Einem Bericht von Reuters zufolge Microsoft Forscher haben gewarnt, dass hinter der Kampagne eine mit der russischen Regierung verbundene Hackergruppe steckt.

In einem Blog haben Forscher außerdem darauf hingewiesen, dass diese „sehr gezielten“ Hacking-Angriffe seit Mai bereits „weniger als 40 einzigartige globale Organisationen“ betroffen haben. Auch Microsoft versicherte, den Vorfall zu untersuchen. In dem Bericht wurde auch erwähnt, dass die russische Botschaft in den USA noch nicht auf eine Bitte um Stellungnahme reagiert habe.
Wie Hacker es auf Benutzer abgesehen haben

Forscher fanden heraus, dass diese Hacker Domänen und Konten erstellt hatten, die dem technischen Support ähnelten, und versuchten einzugreifen Mannschaften Benutzer in Chats. Diese Hacker bringen diese Benutzer dann davon ab, die Multifaktor-Authentifizierung zu genehmigen (MFA) fordert.
Laut dem Microsoft-Blog nutzten die Hacker bereits kompromittierte Microsoft 365-Konten kleiner Unternehmen, um neue Domänen zu erstellen. Bei diesen Domänen handelte es sich offenbar um Einrichtungen des technischen Supports, in denen das Wort „Microsoft“ vorkam. Die Forscher stellten fest, dass die mit diesen Domänen verknüpften Konten Phishing-Nachrichten verschickten, um Menschen über Teams anzulocken.
MFAs sind eine Sicherheitsmaßnahme, die Hacker daran hindern soll, Zugangsdaten zu stehlen. Die Hackergruppe, die es auf die Videokonferenzplattform Teams von Microsoft abgesehen hat, vermutet, dass Angreifer neue Möglichkeiten entdeckt haben, diese zu umgehen. Im Januar-Finanzbericht des Technologieriesen wurde behauptet, dass sein Geschäftskommunikationsdienst Teams eine aktive Nutzerbasis von über 280 Millionen habe.

„Microsoft hat den Akteur von der Nutzung der Domänen abgehalten und untersucht diese Aktivität weiterhin und arbeitet daran, die Auswirkungen des Angriffs zu beheben“, stellten die Forscher fest.
Mitternachtssturm Hacking-Gruppe
Das Unternehmen hat erwähnt, dass die Gruppe hinter den Hacking-Aktivitäten des Teams als Midnight Blizzard oder APT29 identifiziert wurde. Die Forscher stellten fest, dass diese Hackergruppe ihren Sitz in hat Russland und die Regierungen des Vereinigten Königreichs und der USA haben es auch mit dem Auslandsgeheimdienst des Landes in Verbindung gebracht.
„Die von dieser Aktivität angegriffenen Organisationen weisen wahrscheinlich auf spezifische Spionageziele von Midnight Blizzard hin, die sich an die Regierung, Nichtregierungsorganisationen (NGOs), IT-Dienste, Technologie, diskrete Fertigung und Mediensektoren richten“, sagten sie. Allerdings nannten die Forscher keines der Ziele.
Zuvor, im Jahr 2018, hatte Midnight Blizzard Berichten zufolge solche Organisationen in den USA und Europa ins Visier genommen.
„Dieser jüngste Angriff in Kombination mit früheren Aktivitäten ist ein weiterer Beweis dafür, dass Midnight Blizzard seine Ziele kontinuierlich mit neuen und gängigen Techniken umsetzt“, fügten die Forscher hinzu.

toi-tech