O setor de Threat Intelligence da Microsoft informou nessa quarta-feira (2) que identificou uma extensa campanha de spear phishing mirando roubo de credenciais e acessos de MFA, enviados como chats falsos pelo Microsoft Teams. A operação estaria sendo executada pelo agente hostil identificado como Midnight Blizzard, baseado na Rússia e supostamente ligado ao Serviço de Inteligência Estrangeira do país.
Em comunicado no blog da corporação, a Microsoft informou ter interrompido o uso desses domínios comprometidos e agora segue na investigação sobre os métodos adotados e no trabalho de contenção das consequências. Além disso, a Big Tech também já notificou os clientes comprometidos e visados pelo incidente, fornecendo todo o suporte de proteção.
Nessa atividade, o agente usa locatários do Microsoft 365 previamente comprometidos, pertencentes a pequenas empresas, para criar domínios que aparecem como entidades de suporte técnico. Usando esses domínios, ele aproveita as mensagens do Teams e envia iscas de roubo de credenciais às organizações-alvo, abordando usuários e solicitando a aprovação de prompts de autenticação multifator (MFA).
A investigação atual da Microsoft detectou cerca de 40 organizações globais afetadas pela nova campanha de phishing. Segundo a companhia, as organizações visadas pelos cibercriminosos indicam objetivos específicos de espionagem direcionados a governos, ONGs, setores de mídia e serviços de TI. Essa abordagem é bastante comum dentro do rol de atividades do Midnight Blizzard.
“O foco desse agente hostil é coletar inteligência por meio de espionagem de longa data e dedicada a interesses estrangeiros que podem ser rastreados desde o início de 2018. Suas operações geralmente envolvem o comprometimento de contas válidas e, em alguns casos altamente direcionados, técnicas de comprometimento dos mecanismos de autenticação para expandir o acesso e evitar a detecção”, seguiu a nota.
Diante do risco dessa ameaça, a empresa listou uma série de propostas de atenuações, de forma a evitar os problemas decorrentes desse incidente. Entre as orientações, foram citadas a implementação de critérios mais rígidos de acesso e autenticação, especialmente envolvendo aplicações críticas, além de manter usuários instruídos sobre métodos de engenharia social e boas práticas de proteção aplicadas pela Cibersegurança.
“Como acontece com qualquer nova descoberta de engenharia social, solicitamos às organizações usuárias do Teams, afetadas ou não, intensificar as práticas recomendadas de Segurança para todos os usuários e reforçar que qualquer solicitação de autenticação não iniciada pelo usuário deve ser tratada como maliciosa”, encerra o posicionamento.
