Microsoft heeft Midnight Blizzard, een aan de Russische overheid gelieerde hackersgroep, geïdentificeerd als de motor achter een reeks recente phishingaanvallen via Teams. De staatshackers zouden zich met name op Europese en Amerikaanse organisaties richten
Volgens Microsoft hebben de hackers van Midnight Blizzard, eerder bekend onder de naam Nobelium, een relatie met de Russische buitenlandse spionagedienst SVR. De hackers gebruiken in hun acties bestaande gecompromitteerde gegevens van Microsoft 365-gebruikers, vooral van kleine bedrijven, voor het opzetten van nieuwe valse (Microsoft) domeinen of accounts. Deze valse domeinen en accounts doen zich voor als een technische ondersteuning voor Microsoft-oplossingen.
Vervolgens gaan de hackers via Teams gesprekken aan en proberen slachtoffers MFA-verzoeken te laten accepteren. Hiermee kunnen zij deze securitymaatregelen omzeilen en toegang krijgen tot de accounts van slachtoffers en mogelijk de achterliggende bedrijfssystemen.
Microsoft onderzoekt impact
Inmiddels zouden op deze manier al 40 unieke mondiale bedrijven en organisaties zijn aangevallen. Vooral gaat het hierbij om overheidsorganisaties, NGO’s, specialistische maakbedrijven en de mediasector.
Microsoft onderzoekt de nieuwe aanvalsmethode en de impact. Aangetroffen gecompromitteerde accounts en omgevingen zijn inmiddels geblokkeerd.
De techgigant heeft een lijst van mogelijke aanvalsindicatoren door Midnight Blizzard gepubliceerd en hoe bedrijven en organisaties maatregelen kunnen nemen die de kans op een aanval tegengaan of verkleinen.
Lees ook: KillNet haalt Europese Investeringsbank offline: wie is deze groep?
17 uur geleden
