Warnung Microsofts: Teams-Nutzer im Fokus russischer Angreifer (Midnight Blizzard)

[English]Microsoft hat gerade eine Warnung an Teams-Nutzer veröffentlicht, weil man auf Phishing-Kampagnen gestoßen ist, die auf diese Klientel abzielt. Hinter diesen Phishing-Kampagnen stecken russische Angreifer, die Microsoft mit Midnight Blizzard (oder NOBELIUM. APT29, UNC2452 und Cozy Bear) benennt. Ziel der Gruppe ist es, Anmeldeinformationen von Opfern, speziell in den Bereichen Regierungen, Nichtregierungsorganisationen (NGOs), IT-Dienstleistungen, Technologie, diskrete Fertigung und Medien zu erlangen.

Im Beitrag Midnight Blizzard conducts targeted social engineering over Microsoft Teams schreibt Microsoft, dass sein Microsoft Threat Intelligence sehr gezielte Social-Engineering-Angriffe identifiziert habe. Dabei werden Phishing-Köder zum Diebstahl von Anmeldeinformationen als Microsoft-Teams-Chats von einem Bedrohungsakteur versandt. Microsoft nennt explizit die Gruppe Midnight Blizzard (auch als NOBELIUM. APT29, UNC2452 und Cozy Bear bezeichnet).

Typische Muster für Angriffe

Die Angreifer der Gruppe setzen regelmäßig Token-Diebstahltechniken für den Erstzugang zu Zielumgebungen ein. Kombiniert wird dies mit Authentifizierungs-Spearphishing, Passwort-Spray, Brute-Force- und anderen Angriffen auf Zugangsdaten. Das Angriffsmuster ist seit mindestens Ende Mai 2023 als Teil einer breiteren Angriffskampagne zum Abgreifen von Zugangsdaten zu beobachten.

• Zur Erleichterung des Angriffs verwendet der Akteur Microsoft 365-Tenants, die kleinen Unternehmen gehören. Diese wurden in früheren Angriffen kompromittiert, und dienen nun zum Hosting der Webseiten für den Social-Engineering-Angriff.
• Der Akteur benennt den kompromittierten Tenant um, fügt eine neue onmicrosoft.com-Subdomäne hinzu sowie einen neuen Benutzer hinzu, der mit dieser Domäne verbunden ist. Der Angreifer verwendet Schlüsselwörter, die sich auf Sicherheit oder Produktnamen beziehen, um eine neue Subdomäne und einen neuen Mandantennamen zu erstellen, um den Nachrichten Legitimität zu verleihen.

Von diesem Nutzer werden dann Nachrichten an den Ziel-Tenant gesendet. Der Zielbenutzer erhält dann z.B. eine Microsoft Teams-Nachrichtenanfrage von einem externen Benutzer, der sich als technischer Support oder als Mitarbeiter des Sicherheitsteams ausgibt.

Sofern der Nutzer die Nachrichtenanforderung akzeptiert, erhält er eine Microsoft Teams-Nachricht mit der Anforderung samt Anweisungen, einen von Microsoft übermittelten Code in die Microsoft Authenticator-App auf seinem Mobilgerät einzugeben. Fällt der Nutzer auf diesen Trick herein und bestätigt den Code, erhält der Angreifer ein Authentifizierungstoken, welches den Zugang zum Microsoft 365-Konto des Benutzers ermöglicht.

Microsoft hat beobachtet, dass der Angreifer nach der Kompromittierung dann weitere Aktivitäten durchführt. Das läuft in der Regel auf den Diebstahl von Informationen aus dem kompromittierten Microsoft 365-Tenant hinaus. Es gibt wohl auch Fälle, in denen der Angreifer versucht, ein Gerät über Microsoft Entra ID (ehemals Azure Active Directory) als verwaltetes Gerät zur Organisation hinzuzufügen. Ziel ist vermutlich, Richtlinien für den bedingten Zugriff zu umgehen, die normalerweise erzwingen, dass nur verwaltete Geräte Zugriff auf bestimmte Ressourcen erhalten. Details lassen sich in Microsofts Beitrag nachlesen. Dort gibt Microsoft auch Ratschläge, wie man sich gegen solche Angriffe wappnen kann.

Weil es gerade passt: Microsoft warnt laut diesem Beitrag in The Hackers News vor Angriffen auf Stadien für Sportveranstaltungen. Es heißt, die Cyber-Risiken für Live-Sportveranstaltungen hätten sich rapide ausweitet. "Informationen über sportliche Leistungen, Wettbewerbsvorteile und persönliche Daten sind ein lukratives Ziel", heißt es in einem Bericht von Cyber Signals, den The Hacker News zitiert. Sportteams, Sportverbände der großen Ligen und der ganzen Welt sowie Unterhaltungseinrichtungen beherbergen eine Fülle wertvoller Informationen, die für Cyberkriminelle interessant seien.

Wer ist Midnight Blizzard?

Midnight Blizzard (andere Namen sind NOBELIUM, APT29, UNC2452 und Cozy Bear) ist ein in Russland ansässiger Bedrohungsakteur, der dem russischen Auslandsgeheimdienst (SVR), zugeordnet wird. Es ist bekannt, dass diese Gruppe in erster Linie Regierungen, diplomatische Einrichtungen, Nichtregierungsorganisationen (NRO) und IT-Dienstleister vor allem in den USA und Europa ins Visier nimmt. Ihr Schwerpunkt liegt auf der Sammlung von Informationen durch langjährige und gezielte Spionage ausländischer Interessen, die bis Anfang 2018 zurückverfolgt werden kann. Bei ihren Operationen werden häufig gültige Konten kompromittiert, und in einigen sehr gezielten Fällen werden fortgeschrittene Techniken eingesetzt, um Authentifizierungsmechanismen innerhalb einer Organisation zu kompromittieren, um den Zugang zu erweitern und die Entdeckung zu umgehen, heißt es von Microsoft.

Midnight Blizzard geht nach den Beobachtungen von Sicherheitsforschern konsequent und vor allem hartnäckig vor, um seine Ziele zu erreichen. Die Akteure der Gruppe nutzen verschiedene Methoden für den Erstzugang, von gestohlenen Anmeldeinformationen über Angriffe auf die Lieferkette, die Ausnutzung lokaler Umgebungen, um später in die Cloud vorzudringen, die Ausnutzung der Vertrauenskette von Dienstanbietern, um Zugang zu nachgelagerten Kunden zu erhalten, bis hin zur Active Directory Federation Service (AD FS) Malware, bekannt als FOGGYWEB und MAGICWEB. Midnight Blizzard (NOBELIUM) wird von Partner-Sicherheitsanbietern als identifiziert.