Microsoft ha identificato un sofisticato attacco di phishing basato sull’ingegneria sociale che mira a ottenere le credenziali di accesso da dipendenti aziendali di organizzazione governative, organizzazioni non governative (ONG), aziende di servizi IT, produttori e aziende di comunicazione, attraverso la chat di Microsoft Teams.
Gli autori di questa campagna sono i noti cybercriminali del gruppo di hacker russi Midnight Blizzard, anche conosciuti come NOBELIUM o Cozy Bear. Il gruppo è conosciuto per la sua abilità nel rubare chiavi di accesso e dati sensibili.
Midnight Blizzard è stato individuato da Microsoft Defender Threat Intelligence mentre utilizzava tenant Microsoft 365 precedentemente compromessi per creare nuovi domini che risultano come entità di supporto tecnico legittime. Da questi domini, l’attore malevolo invia messaggi su Teams, cercando di acquisire le credenziali delle organizzazioni bersaglio.
Microsoft raccomanda di rafforzare le pratiche di sicurezza per tutti gli utenti e di prestare particolare attenzione a tutti gli avvisi relativi all’autenticazione a più fattori.
Scopriamo di più su questo pericoloso gruppo e sulle loro modalità di attacco.
Midnight Blizzard: il gruppo hacker russo
Midnight Blizzard, conosciuto anche come NOBELIUM, è un gruppo di hacker con sede in Russia attribuito dai governi degli Stati Uniti e del Regno Unito al Foreign Intelligence Service della Federazione Russa (SVR). Il gruppo è noto per concentrare i suoi attacchi principalmente su governi, entità diplomatiche, organizzazioni non governative (ONG) e fornitori di servizi IT, principalmente negli Stati Uniti e in Europa.
Le loro operazioni spesso coinvolgono la compromissione di account legittimi e, in alcuni casi altamente mirati, l’uso di tecniche avanzate per compromettere i meccanismi di autenticazione all’interno delle organizzazioni al fine di ampliare l’accesso sfuggire alla rilevazione.
Midnight Blizzard ha dimostrato coerenza nelle sue azioni e raramente cambia i suoi obiettivi. Utilizza diverse modalità di accesso iniziale, che vanno dalle credenziali rubate agli attacchi alla catena di fornitura, dall’exploit di ambienti on-premises al movimento laterale verso il Cloud, e persino l’exploit della catena di fiducia dei fornitori di servizi per accedere ai clienti downstream. Inoltre, hanno utilizzato malware noti come FOGGYWEB o MAGICWEB per attaccare il servizo Active Directory Federation (AD FS). Midnight Blizzard è costantemente monitorato da partner di fornitori di sicurezza come APT29, UNC2452 e Cozy Bear.
Ultimo attacco di phishing alle credenziali di Midnight Blizzard
Midnight Blizzard utilizza regolarmente tecniche di furto di token per ottenere l’accesso iniziale agli ambienti mirati, oltre ad attacchi di spear-phishing per l’autenticazione, password spray, attacchi di forza bruta ed altre tipologie di attacchi alle credenziali. Lo schema di attacco osservato nelle attività malevole almeno dalla fine di maggio 2023 è stato identificato come una sottocategoria di campagne più ampie di attacchi alle credenziali che si attribuiscono a Midnight Blizzard.
Utilizzo di nomi di dominio con tematiche di sicurezza nelle campagne di phishing
Gli hacker semplificano i loro attacchi sfruttando i tenant di Microsoft 365 di piccole imprese precedentemente compromessi in attacchi passati, per condurre operazioni di ingegneria sociale. Per portare a termine questa tattica, l’attore malevolo rinomina il tenant precedentemente compromesso e aggiunge un nuovo sottodominio onmicrosoft.com, creando anche un nuovo utente associato a quel dominio da cui invia messaggi al tenant di destinazione. Per conferire legittimità ai messaggi, vengono utilizzate parole chiave relative alla sicurezza o nomi di prodotti.
Successivamente, gli hacker inviano messaggi alle vittime, fingendosi il supporto tecnico o il team di sicurezza. In questi messaggi, richiedono ai dipendenti di fornire le loro credenziali di accesso. Nel caso in cui sia attiva l’autenticazione a più fattori (MFA), viene chiesto anche il codice supplementare da inserire dopo username/e-mail e password.
Secondo quanto riportato da Microsoft, questa campagna di phishing ha colpito meno di 40 organizzazioni globali distinte. Le organizzazioni coinvolte sembrano essere obiettivi specifici di spionaggio da parte di Midnight Blizzard, tra cui governi, organizzazioni non governative (ONG), servizi IT, tecnologia, produzione e media. Microsoft ha già preso misure per mitigare l’uso dei domini coinvolti e sta continuando ad investigare su questa attività, lavorando per ridurre l’impatto dell’attacco.
Midnight Blizzard: strategia di social engineering
In questa attività, Midnight Blizzard è riuscito a ottenere credenziali valide per gli account presi di mira, sfruttando l’autenticazione senza password configurata. Questa modalità richiede agli utenti di inserire un codice visualizzato durante il processo di autenticazione nell’app Microsoft Authenticator sul loro dispositivo mobile.
Dopo aver tentato di autenticarsi su un account che richiede questa forma di autenticazione a più fattori (MFA), l’attore si trova di fronte a un codice che l’utente dovrebbe inserire nella sua app. L’utente riceve una richiesta di inserimento del codice sul proprio dispositivo. L’attore successivamente invia un messaggio all’utente tramite Microsoft Teams, cercando di indurlo a inserire il codice nel prompt del proprio dispositivo.
Passo 1: Richiesta di chat Teams
L’utente bersaglio potrebbe ricevere una richiesta di messaggio da Microsoft Teams da un utente esterno che finge di essere un team di supporto tecnico o di sicurezza.
Passo 2: Richiesta di azione dell’app di autenticazione
Se l’utente accetta la richiesta di messaggio, riceve un messaggio da parte dell’attaccante su Microsoft Teams in cui cerca di convincerlo ad inserire un codice nell’app Microsoft Authenticator.
Passo 3: Autenticazione MFA riuscita
Se l’utente accetta la richiesta ed inserisce il codice nell’app Microsoft Authenticator, il malintenzionato ottiene un token per autenticarsi nonché l’accesso all’account Microsoft 365 dell’utente. L’attore procede, quindi, a condurre un’attività successiva alla compromissione, che di solito coinvolge il furto di informazioni dal tenant di Microsoft compromesso.
In alcuni casi, l’attore cerca di aggiungere un dispositivo all’organizzazione come dispositivo gestito tramite Microsoft Entra ID (precedentemente Azure Active Directory), probabilmente nel tentativo di aggirare le politiche di accesso condizionale configurare per limitare l’accesso solo a risorse specifiche ai dispositivi gestiti.
Raccomandazioni Microsoft
Microsoft consiglia alcune misure per ridurre il rischio di questa minaccia:
- avviare una fase pilota e iniziare a implementare metodi di autenticazione resistenti al phishing per gli utenti.
- Applicare la forza di autenticazione di Conditional Access per richiedere un’autenticazione resistente al phishing per dipendenti e utenti esterni per le app critiche.
- Specificare le organizzazioni Microsoft 365 attendibili per definire quali domini esterni sono autorizzati o bloccati per la chat e le riunioni.
- Mantenere abilitato l’audit di Microsoft 365 in modo che i registri di audit possano essere investigati se necessario.
- Comprendere e selezionare le migliori impostazioni di accesso per la collaborazione esterna per la propria organizzazione.
- Consentire solo dispositivi noti che rispettano le linee guida di sicurezza consigliate da Microsoft.
- Educare gli utenti sulle tecniche di ingegneria sociale e sugli attacchi di phishing alle credenziali, compresa la raccomandazione di non inserire codici MFA inviati tramite messaggi non richiesti.
- Educare gli utenti di Microsoft Teams a verificare l’etichetta “Esterno” sui tentativi di comunicazione da entità esterne, a prestare attenzione a ciò che condividono e a non condividere mai le proprie informazioni di account o autorizzare richieste di accesso tramite chat.
- Insegnare agli utenti a rivedere l’attività di accesso e contrassegnare i tentativi sospetti di accesso come “Questo non sono stato io”.
- Implementare il Conditional Access App Control in Microsoft Defender for Cloud Apps per gli utenti che si connettono da dispositivi non gestiti.
Guida alla ricerca Microsoft Purview
Attraverso la ricerca di contenuti in Microsoft Purview è possibile identificare gli utenti che sono stati bersagliati dall’amo del phishing. Una ricerca di contenuti può essere creata per le cassette di posta di Exchange selezionate (che includono i messaggi di Teams) utilizzando le seguenti parole chiave (rimuovere le parentesi quadre intorno al “.” prima dell’uso):
- onmicrosoft[.]com
- onmicrosoft[.]com
- onmicrosoft[.]com
- onmicrosoft[.]com
- onmicrosoft[.]com
- onmicrosoft[.]com
- onmicrosoft[.]com
- onmicrosoft[.]com
- onmicrosoft[.]com
- onmicrosoft[.]com
- onmicrosoft[.]com
- We detected a recent change to your preferred Multi-Factor Authentication (MFA)
I risultati della ricerca includeranno i messaggi che soddisfano i criteri. Il primo risultato sembrerà provenire da <threadid>@unq.gbl.spaces indirizzato all’utente target e al malintenzionato (ovvero, la richiesta di chat come descritta al “Passo 1”, seguito dal messaggio inviato dal malintenzionato.
Analisi con Microsoft Sentinel
I clienti di Microsoft Sentinel, invece, possono utilizzare l’analisi TI Mapping (una serie di analisi tutte con prefisso “TI map”) per abbinare automaticamente gli indicatori associati a Midnight Blizzard in Microsoft Defender Threat Intelligence con i dati nel loro spazio di lavoro.
Se le analisi di TI Map non sono attualmente implementate, i clienti possono installare la soluzione Threat Intelligence dall’Hub dei contenuti di Microsoft Sentinel per avere il connettore Defender Threat Intelligence e la regola di analisi implementati nel loro spazio di lavoro di Sentinel.
Sicurezza informatica in azienda: come difendersi dagli attacchi di phishing
L’attacco di phishing orchestrato da Midnight Blizzard è un forte richiamo all’importanza della sicurezza informatica nelle aziende e all’urgente necessità di formare adeguatamente gli utenti. Questo gruppo di hacker russi, noto per la sua abilità di ottenere accesso indebito attraverso sofisticate strategie di ingegneria sociale, rappresenta una minaccia significativa per organizzazioni governative, ONG e aziende in tutto il mondo.
La scoperta di questo attacco da parte di Microsoft sottolinea la necessità di rafforzare le pratiche di sicurezza in azienda e di prestare particolare attenzione all’autenticazione a più fattori. Solo con un’adeguata consapevolezza dei dipendenti, possiamo contribuire a prevenire tali attacchi e proteggere i dati sensibili delle organizzazioni.
Per affrontare queste minacce in continua evoluzione, consigliamo i nostri corsi di formazione, progettati per preparare il team a fronteggiare le sfide sempre crescenti della sicurezza informatica. La sicurezza dei dati e la protezione delle informazioni aziendali sono una responsabilità condivisa, e investire nella formazione è un passo fondamentale per garantire un ambiente digitale più sicuro per tutti.