Російські хакери використали зламані облікові записи Microsoft 365, щоб атакувати компанії в США, і їм вдалося успішно зламати майже 40 фірм.
У новому звіті дослідників Microsoft стверджується, що вони виявили групу хакерів, яку вони відстежують під назвою Midnight Blizzard (також відома як NOBELIUM або Cozy Bear). Судячи з усього, зловмисники використали раніше викрадені облікові записи Microsoft 365, що належать різним малим підприємствам по всій країні, щоб атакувати конкретні фірми за допомогою фішингових повідомлень і приманок, що поширюються через Microsoft Teams. Хакери видавали себе за співробітників служби техпідтримки та намагалися змусити жертв поділитися з ними обліковими даними для входу в систему і ключами багатофакторної автентифікації.
Microsoft заявила, що кампанія зачепила “близько 40 глобальних організацій”, і що вона заблокувала доступ до скомпрометованих доменів, що свідчить про те, що вектор атаки кампанії відключений. Постраждалі компанії були поінформовані.
Midnight Blizzard спеціалізується на кібер-шпигунстві та зборі даних і найчастіше атакує фірми, що пов’язані з урядом, неурядовими організаціями, ІТ-послугами, технологіями та медіа-сектором. Найчастіше це європейські або американські організації. У деяких випадках хакери націлювалися на фірми, чиї системи захищені багатофакторною автентифікацією. Не вдаючись у подробиці, Microsoft повідомила, що зловмисникам вдалося обійти MFA, обманом змусивши жертв поділитися ключем.
Midnight Blizzard використовує широкий спектр методів та передові підходи до атак і є достатньо небезпечним, щоб бути на радарі урядів США та Великої Британії. Судячи з усього, за угрупуванням стоїть Служба зовнішньої розвідки рф. Ці хакери зазвичай націлені на високопоставлених осіб, таких як політики, дипломати, журналісти, а також постачальники ІТ-послуг і провайдери критичної інфраструктури.
Мета роботи Midnight Blizzard – зібрати розвіддані та дізнатися якомога більше про внутрішню роботу дипломатів на Заході. Microsoft досить активно відстежувала діяльність цієї групи та за кілька тижнів до цього інциденту звернулася до Twitter, щоб попередити своїх клієнтів про Midnight Blizzard, заявивши, що ця група активізувала свою діяльність з атак на облікові дані.
Microsoft has detected increased credential attack activity by the threat actor Midnight Blizzard using residential proxy services to obfuscate the source of their attacks. These attacks target governments, IT service providers, NGOs, defense industry, and critical manufacturing.
— Microsoft Threat Intelligence (@MsftSecIntel) June 21, 2023
Читайте також: