Russische hackers gebruikten gehackte accounts Microsoft 365 om bedrijven in de VS aan te vallen, en ze slaagden erin bijna 40 bedrijven met succes te hacken.
In een nieuw rapport van onderzoekers Microsoft beweert een hackergroep te hebben ontdekt die ze volgen, genaamd Midnight Blizzard (ook bekend als NOBELIUM of Gezellige Beer). Blijkbaar hebben de aanvallers eerder gestolen accounts gebruikt Microsoft 365 is eigendom van verschillende kleine bedrijven in het hele land om specifieke bedrijven te targeten met phishing-berichten en lokvogels die via deze kanalen worden verspreid Microsoft Teams. Hackers deden zich voor als technisch ondersteuningspersoneel en probeerden slachtoffers zover te krijgen dat ze hun inloggegevens en multi-factor authenticatiesleutels met hen deelden.
Microsoft zei dat de campagne "ongeveer 40 mondiale organisaties" trof en dat de toegang tot gecompromitteerde domeinen werd geblokkeerd, wat erop wijst dat de aanvalsvector van de campagne is uitgeschakeld. Getroffen bedrijven zijn geïnformeerd.
Midnight Blizzard is gespecialiseerd in cyberspionage en gegevensverzameling en richt zich meestal op bedrijven die verband houden met de overheid, niet-gouvernementele organisaties, IT-diensten, technologie en mediasectoren. Meestal zijn dit Europese of Amerikaanse organisaties. In sommige gevallen hackers gerichte bedrijven waarvan de systemen worden beschermd door multi-factor authenticatie. Zonder in details te treden, Microsoft meldde dat aanvallers erin slaagden MFA te omzeilen door slachtoffers te misleiden om de sleutel te delen.
Midnight Blizzard gebruikt een breed scala aan methoden en geavanceerde aanvalsbenaderingen en is gevaarlijk genoeg om op de radar te staan van de Amerikaanse regeringen en еликої итанії. Blijkbaar zit de Russische buitenlandse inlichtingendienst achter de groep. Deze hackers richten zich meestal op spraakmakende personen zoals politici, diplomaten, journalisten, maar ook op IT-serviceproviders en leveranciers van kritieke infrastructuur.
Het doel van Midnight Blizzard is om inlichtingen te verzamelen en zoveel mogelijk te leren over de innerlijke werking van diplomaten in het Westen. Microsoft volgde vrij actief de activiteiten van deze groep en een paar weken daarvoor draaide dit incident zich om Twitter, om zijn klanten te waarschuwen voor Midnight Blizzard en te zeggen dat de groep zijn credential-aanvallen heeft opgevoerd.
Microsoft heeft toegenomen activiteit van credential-aanvallen gedetecteerd door de bedreigingsacteur Midnight Blizzard met behulp van residentiële proxy-services om de bron van hun aanvallen te verdoezelen. Deze aanvallen zijn gericht op overheden, IT-dienstverleners, NGO's, de defensie-industrie en kritische productiebedrijven.
- Microsoft Bedreigingsinformatie (@MsftSecIntel) 21 June 2023
Lees ook: