Российские кибершпионы взломали номер Microsoft

Jun 25, 2023

Целевые фишинговые атаки группы постоянных угроз Midnight Blizzard были нацелены на владельцев Microsoft 365 малого бизнеса.

Российская государственная группа кибершпионажа, известная как APT29, запускает фишинговые атаки на организации, которые используют поддельные сообщения безопасности в Microsoft Teams, пытаясь обойти метод push-уведомлений двухфакторной аутентификации (2FA) Microsoft, основанный на сопоставлении номеров. «Наше текущее расследование показывает, что эта кампания затронула менее 40 уникальных глобальных организаций», — говорится в отчете Microsoft. «Организации, на которых направлена ​​эта деятельность, вероятно, указывают на конкретные шпионские цели Midnight Blizzard, направленные на правительство, неправительственные организации (НПО), ИТ-услуги, технологии, дискретное производство и медиа-сектор».

Midnight Blizzard — это новое название Microsoft для APT29, группы угроз, которая действует уже много лет и рассматривается правительствами США и Великобритании как хакерское подразделение российской внешней разведки СВР. APT29, также известный в индустрии безопасности как Cozy Bear или NOBELIUM, стоял за атакой на цепочку поставок программного обеспечения SolarWinds в 2020 году, которая затронула тысячи организаций по всему миру, но также был ответственен за атаки на многие правительственные учреждения, дипломатические миссии и военно-промышленные компании со всего мира. мир на протяжении многих лет.

APT29 получает доступ к системам и сетям, используя самые разнообразные методы, в том числе с помощью эксплойтов нулевого дня, злоупотребления доверительными отношениями между различными объектами внутри облачных сред, путем развертывания фишинговых электронных писем и веб-страниц для популярных сервисов, с помощью распыления паролей и атак методом перебора. , а также через вредоносные вложения электронной почты и загрузки из Интернета.

Последние целевые фишинговые атаки, обнаруженные Microsoft, начались в мае и, вероятно, были частью более масштабной кампании по компрометации учетных данных, которая сначала привела к захвату клиентов Microsoft 365, принадлежащих малым предприятиям. Арендаторы Microsoft 365 получают поддомен в общедоступном домене onmicrosoft.com, которому доверяют, поэтому злоумышленники переименовали захваченных клиентов и создали поддомены с именами, связанными с безопасностью и продуктом, чтобы повысить доверие к следующему шагу в их атаке с помощью социальной инженерии.

На втором этапе были выбраны учетные записи в других организациях, для которых они уже получили учетные данные или для которых была включена политика аутентификации без пароля. Оба этих типа учетных записей включили многофакторную аутентификацию с помощью того, что Microsoft называет push-уведомлениями, соответствующими номерам.

Метод push-уведомлений 2FA предполагает, что пользователи получают уведомление на свое мобильное устройство через приложение для авторизации попытки входа в систему. Это распространенная реализация на многих веб-сайтах, но злоумышленники начали использовать ее с помощью так называемой усталости 2FA или MFA — тактики атаки, которая включает в себя рассылку спама пользователю, чьи учетные данные были украдены, с непрерывными запросами на авторизацию до тех пор, пока они не решат, что система неисправна, и смиритесь с этим или, что еще хуже, рассылайте спам пользователям телефонными звонками 2FA посреди ночи тем, у кого эта опция включена.

Другой распространенный способ реализации 2FA — это требование веб-сайту кода, сгенерированного приложением аутентификации на телефоне пользователя. Однако злоумышленники нашли способы обойти и этот метод, внедрив фишинговые страницы, которые действуют как обратные прокси-серверы между пользователем и целевым веб-сайтом или службой.

В ответ на такого рода атаки Microsoft внедрила еще один метод 2FA, который предполагает, что веб-сайты Microsoft отправляют push-уведомление в приложение Microsoft Authenticator на мобильном устройстве пользователя, которое предлагает пользователю ввести номер внутри приложения. Этот номер отображается на веб-сайте во время процесса аутентификации. Этот метод называется сопоставлением номеров и стал методом по умолчанию для всех push-уведомлений Microsoft Authenticator, начиная с 8 мая.

Теперь, если злоумышленник попытается пройти аутентификацию с использованием украденных учетных данных пользователя, в приложении Microsoft Authenticator пользователю будет предложено ввести номер для завершения процесса 2FA, но пользователь не знает номер, отображаемый на веб-сайте, потому что это не он. кто инициировал аутентификацию в своем браузере. Итак, APT29 решил победить эту новую проблему.