{"id":284591,"date":"2023-08-04T12:19:21","date_gmt":"2023-08-04T10:19:21","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=284591"},"modified":"2023-08-05T04:18:57","modified_gmt":"2023-08-05T02:18:57","slug":"warnung-microsofts-teams-nutzer-im-fokus-russischer-angreifer-midnight-blizzard","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/08\/04\/warnung-microsofts-teams-nutzer-im-fokus-russischer-angreifer-midnight-blizzard\/","title":{"rendered":"Warnung Microsofts: Teams-Nutzer im Fokus russischer Angreifer (Midnight Blizzard)"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Tor\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/06\/Teams-e1623389219383.jpg\" alt=\"Teams\" width=\"133\" height=\"116\" border=\"0\" \/>[<a href=\"https:\/\/borncity.com\/win\/2023\/08\/05\/microsofts-warning-teams-users-targeted-by-russian-attackers-midnight-blizzard\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Microsoft hat gerade eine Warnung an Teams-Nutzer ver\u00f6ffentlicht, weil man auf Phishing-Kampagnen gesto\u00dfen ist, die auf diese Klientel abzielt. Hinter diesen Phishing-Kampagnen stecken russische Angreifer, die Microsoft mit Midnight Blizzard (oder NOBELIUM. APT29, UNC2452 und Cozy Bear) benennt. Ziel der Gruppe ist es, Anmeldeinformationen von Opfern, speziell in den Bereichen Regierungen, Nichtregierungsorganisationen (NGOs), IT-Dienstleistungen, Technologie, diskrete Fertigung und Medien zu erlangen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg09.met.vgwort.de\/na\/b4178df89e694e2daee23f00c3651499\" alt=\"\" width=\"1\" height=\"1\" \/>Im Beitrag <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2023\/08\/02\/midnight-blizzard-conducts-targeted-social-engineering-over-microsoft-teams\/\" target=\"_blank\" rel=\"noopener\">Midnight Blizzard conducts targeted social engineering over Microsoft Teams<\/a> schreibt Microsoft, dass sein Microsoft Threat Intelligence sehr gezielte Social-Engineering-Angriffe identifiziert habe. Dabei werden Phishing-K\u00f6der zum Diebstahl von Anmeldeinformationen als Microsoft-Teams-Chats von einem Bedrohungsakteur versandt. Microsoft nennt explizit die Gruppe Midnight Blizzard (auch als NOBELIUM. APT29, UNC2452 und Cozy Bear bezeichnet).<\/p>\n<h2>Typische Muster f\u00fcr Angriffe<\/h2>\n<p>Die Angreifer der Gruppe setzen regelm\u00e4\u00dfig Token-Diebstahltechniken f\u00fcr den Erstzugang zu Zielumgebungen ein. Kombiniert wird dies mit Authentifizierungs-Spearphishing, Passwort-Spray, Brute-Force- und anderen Angriffen auf Zugangsdaten. Das Angriffsmuster ist seit mindestens Ende Mai 2023 als Teil einer breiteren Angriffskampagne zum Abgreifen von Zugangsdaten zu beobachten.<\/p>\n<ul>\n<li>Zur Erleichterung des Angriffs verwendet der Akteur Microsoft 365-Tenants, die kleinen Unternehmen geh\u00f6ren. Diese wurden in fr\u00fcheren Angriffen kompromittiert, und dienen nun zum Hosting der Webseiten f\u00fcr den Social-Engineering-Angriff.<\/li>\n<li>Der Akteur benennt den kompromittierten Tenant um, f\u00fcgt eine neue <em>onmicrosoft.com<\/em>-Subdom\u00e4ne hinzu sowie einen neuen Benutzer hinzu, der mit dieser Dom\u00e4ne verbunden ist. Der Angreifer verwendet Schl\u00fcsselw\u00f6rter, die sich auf Sicherheit oder Produktnamen beziehen, um eine neue Subdom\u00e4ne und einen neuen Mandantennamen zu erstellen, um den Nachrichten Legitimit\u00e4t zu verleihen.<\/li>\n<\/ul>\n<p>Von diesem Nutzer werden dann Nachrichten an den Ziel-Tenant gesendet. Der Zielbenutzer erh\u00e4lt dann z.B. eine Microsoft Teams-Nachrichtenanfrage von einem externen Benutzer, der sich als technischer Support oder als Mitarbeiter des Sicherheitsteams ausgibt.<\/p>\n<p><img decoding=\"async\" title=\"Fake Einladung\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2023\/08\/K65RbHf.png\" alt=\"Fake Einladung\" \/><\/p>\n<p>Sofern der Nutzer die Nachrichtenanforderung akzeptiert, erh\u00e4lt er eine Microsoft Teams-Nachricht mit der Anforderung samt Anweisungen, einen von Microsoft \u00fcbermittelten Code in die Microsoft Authenticator-App auf seinem Mobilger\u00e4t einzugeben. F\u00e4llt der Nutzer auf diesen Trick herein und best\u00e4tigt den Code, erh\u00e4lt der Angreifer ein Authentifizierungstoken, welches den Zugang zum Microsoft 365-Konto des Benutzers erm\u00f6glicht.<\/p>\n<p>Microsoft hat beobachtet, dass der Angreifer nach der Kompromittierung dann weitere Aktivit\u00e4ten durchf\u00fchrt. Das l\u00e4uft in der Regel auf den Diebstahl von Informationen aus dem kompromittierten Microsoft 365-Tenant hinaus. Es gibt wohl auch F\u00e4lle, in denen der Angreifer versucht, ein Ger\u00e4t \u00fcber Microsoft Entra ID (ehemals Azure Active Directory) als verwaltetes Ger\u00e4t zur Organisation hinzuzuf\u00fcgen. Ziel ist vermutlich, Richtlinien f\u00fcr den bedingten Zugriff zu umgehen, die normalerweise erzwingen, dass nur verwaltete Ger\u00e4te Zugriff auf bestimmte Ressourcen erhalten. Details lassen sich in <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2023\/08\/02\/midnight-blizzard-conducts-targeted-social-engineering-over-microsoft-teams\/\" target=\"_blank\" rel=\"noopener\">Microsofts Beitrag<\/a> nachlesen. Dort gibt Microsoft auch Ratschl\u00e4ge, wie man sich gegen solche Angriffe wappnen kann.<\/p>\n<blockquote><p>Weil es gerade passt: Microsoft warnt laut <a href=\"https:\/\/thehackernews.com\/2023\/08\/microsoft-flags-growing-cybersecurity.html\" target=\"_blank\" rel=\"noopener\">diesem Beitrag<\/a> in The Hackers News vor Angriffen auf Stadien f\u00fcr Sportveranstaltungen. Es hei\u00dft, die Cyber-Risiken f\u00fcr Live-Sportveranstaltungen h\u00e4tten sich rapide ausweitet. \"Informationen \u00fcber sportliche Leistungen, Wettbewerbsvorteile und pers\u00f6nliche Daten sind ein lukratives Ziel\", hei\u00dft es in einem Bericht von Cyber Signals, den The Hacker News zitiert. Sportteams, Sportverb\u00e4nde der gro\u00dfen Ligen und der ganzen Welt sowie Unterhaltungseinrichtungen beherbergen eine F\u00fclle wertvoller Informationen, die f\u00fcr Cyberkriminelle interessant seien.<\/p><\/blockquote>\n<h2>Wer ist Midnight Blizzard?<\/h2>\n<p>Midnight Blizzard (andere Namen sind NOBELIUM, APT29, UNC2452 und Cozy Bear) ist ein in Russland ans\u00e4ssiger Bedrohungsakteur, der dem russischen Auslandsgeheimdienst (SVR), zugeordnet wird. Es ist bekannt, dass diese Gruppe in erster Linie Regierungen, diplomatische Einrichtungen, Nichtregierungsorganisationen (NRO) und IT-Dienstleister vor allem in den USA und Europa ins Visier nimmt. Ihr Schwerpunkt liegt auf der Sammlung von Informationen durch langj\u00e4hrige und gezielte Spionage ausl\u00e4ndischer Interessen, die bis Anfang 2018 zur\u00fcckverfolgt werden kann. Bei ihren Operationen werden h\u00e4ufig g\u00fcltige Konten kompromittiert, und in einigen sehr gezielten F\u00e4llen werden fortgeschrittene Techniken eingesetzt, um Authentifizierungsmechanismen innerhalb einer Organisation zu kompromittieren, um den Zugang zu erweitern und die Entdeckung zu umgehen, hei\u00dft es von Microsoft.<\/p>\n<p>Midnight Blizzard geht nach den Beobachtungen von Sicherheitsforschern konsequent und vor allem hartn\u00e4ckig vor, um seine Ziele zu erreichen. Die Akteure der Gruppe nutzen verschiedene Methoden f\u00fcr den Erstzugang, von gestohlenen Anmeldeinformationen \u00fcber Angriffe auf die Lieferkette, die Ausnutzung lokaler Umgebungen, um sp\u00e4ter in die Cloud vorzudringen, die Ausnutzung der Vertrauenskette von Dienstanbietern, um Zugang zu nachgelagerten Kunden zu erhalten, bis hin zur Active Directory Federation Service (AD FS) Malware, bekannt als FOGGYWEB und MAGICWEB. Midnight Blizzard (NOBELIUM) wird von Partner-Sicherheitsanbietern als identifiziert.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Microsoft hat gerade eine Warnung an Teams-Nutzer ver\u00f6ffentlicht, weil man auf Phishing-Kampagnen gesto\u00dfen ist, die auf diese Klientel abzielt. Hinter diesen Phishing-Kampagnen stecken russische Angreifer, die Microsoft mit Midnight Blizzard (oder NOBELIUM. APT29, UNC2452 und Cozy Bear) benennt. Ziel der &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/08\/04\/warnung-microsofts-teams-nutzer-im-fokus-russischer-angreifer-midnight-blizzard\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328,5595],"class_list":["post-284591","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit","tag-teams"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/284591","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=284591"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/284591\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=284591"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=284591"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=284591"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}