ロシアのハッキンググループが企業のテクニカルサポートを装いMicrosoft Teams経由でフィッシング攻撃を行っていたことが判明

ロシアのハッキンググループが中小企業のテクニカルサポートのふりをしてMicrosoft Teams経由でメッセージを送信し、ユーザーにログインを認証させる悪事を働いていたことが分かりました。この行為により、40社未満の組織に影響が及んだとMicrosoftは指摘しています。

Midnight Blizzard conducts targeted social engineering over Microsoft Teams | Microsoft Security Blog
https://www.microsoft.com/en-us/security/blog/2023/08/02/midnight-blizzard-conducts-targeted-social-engineering-over-microsoft-teams/

Microsoft says Russia-linked hackers behind dozens of Teams phishing attacks | Reuters
https://www.reuters.com/technology/microsoft-says-russia-linked-hackers-behind-dozens-teams-phishing-attacks-2023-08-03/

Russian military hackers sent phishing lures masquerading as Microsoft Teams chats
https://therecord.media/russian-hackers-sent-phishing-lures

Microsoftのセキュリティチームが共有した情報によると、「APT29」「NOBELIUM」「Cozy Bear」などの名前でも知られるハッキンググループ・Midnight Blizzardからの攻撃が2023年5月下旬に始まり、政府組織や非政府組織、IT企業やメディア企業など40社未満が影響を受けたとのこと。

Midnight Blizzardは、すでにハッキングされている中小企業のアカウントを用いて「microsoft」という単語が入った新しいドメインを作成し、テクニカルサポートを装って活動を開始。テクニカルサポートになりすました攻撃者は各企業にMicrosoft Teams経由でフィッシングメッセージを送信し、多要素認証プロンプトを認証させるフィッシング攻撃を仕掛けていたと報告されています。

仮にユーザーが多要素認証を実行してしまった場合、攻撃者がユーザーとして認証され、ユーザーのMicrosoft 365アカウントにアクセスできるようになります。

すでに攻撃の対象となったユーザーにはMicrosoftから通知が行われており、Microsoftは攻撃者によるドメインの使用を抑制するなどして対応しています。セキュリティチーム担当者は「Microsoftは引き続きこの活動を調査し、攻撃の影響を緩和するために取り組んでいます」と付け加えました。