Der Softwarehersteller Microsoft warnt aktuell vor gezielten Social Engineering Angriffen durch die Gruppierung „Midnight Blizzard“ über den Dienst Microsoft Teams. Für die aktuelle Angriffskampagne nutzt der Akteur kompromittierte Tenants kleinerer Unternehmen. Diese werden missbräuchlich verwendet, um sich bei den potenziellen Opfern als technischer Support oder Mitarbeiter der (IT-)Sicherheit auszugeben. Die Opfer erhalten zunächst eine Chatanfrage durch einen externen Nutzer. Wird diese akzeptiert, werden die Opfer dazu aufgefordert, einen Code in der Microsoft Authenticator App auf ihrem Mobilgerät einzugeben.
Führen die Opfer diese Schritte aus, erhalten die Angreifer einen Token, um sich als der entsprechende Nutzer zu authentifizieren. Somit erhalten die Angreifer Zugriff auf den Microsoft 365 Account des jeweiligen Benutzers und können von dort Informationen erbeuten.
Die Angreifergruppierung wird dem russischen Auslandsgeheimdienst SWR zugerechnet. Bei den Zielen der aktuellen Kampagne handelt es sich um Organisationen aus den Bereichen Regierung, NGOs, Wirtschaft und Medien. In der Vergangenheit wurden Ziele vornehmlich in den USA und in Europa angegriffen.
Microsoft informiert betroffene Unternehmen nach einer festgestellten, erfolgreichen Kompromittierung eigenständig. Die Cyberabwehr
des Landesamts für Verfassungsschutz empfiehlt jedoch bereits im Vorfeld entsprechende Maßnahmen zur Verhinderung dieser
gezielten Angriffe zu ergreifen. Microsoft stellt hierfür Handlungsanleitungen
sowie eine Liste von IoCs bereit.
Auch vor dem Hintergrund der bereits im Juli dieses Jahres bekanntgewordenen Angriffe auf Microsoft Cloud Anwendungen durch Erbeutung eines Signaturschlüssels wird hier nochmals auf das Joint Cybersecurity Advisory der US-amerikanische Cybersecurity & Infrastructure Security Agency (CISA) und des FBI verwiesen, um APT-Aktivitäten in Microsoft Cloud Anwendungen zu detektieren.
Verdächtige Aktivitäten sollten den Sicherheitsbehörden gemeldet werden.