Microsoft Teams-Nutzer im Fokus russischer Angreifer

Microsoft hat eine Warnung an Nutzer von Teams veröffentlicht, da Phishing-Kampagnen entdeckt wurden, die gezielt auf diese Gruppe abzielen. Hinter diesen betrügerischen Aktionen stecken russische Angreifer, die von Microsoft als „Midnight Blizzard“ (auch bekannt als NOBELIUM, APT29, UNC2452 und Cozy Bear) bezeichnet werden. Das Hauptziel dieser Gruppe ist es, Anmeldedaten von Opfern zu stehlen, insbesondere in den Bereichen Regierung, Nichtregierungsorganisationen (NGOs), IT-Dienstleistungen, Technologie, diskrete Fertigung und Medien.

Laut Microsofts Beitrag mit dem Titel „Midnight Blizzard conducts targeted social engineering over Microsoft Teams“ hat das Microsoft Threat Intelligence sehr gezielte Social-Engineering-Angriffe identifiziert. Dabei werden Phishing-Nachrichten als Microsoft Teams-Chats von den Angreifern verschickt, um Anmeldedaten zu stehlen. Die spezifische Gruppe, die dahintersteckt, wird von Microsoft explizit als „Midnight Blizzard“ (auch bekannt als NOBELIUM, APT29, UNC2452 und Cozy Bear) benannt.

Die Angreifer dieser Gruppe nutzen regelmäßig Techniken zum Diebstahl von Tokens, um den Erstzugang zu den Zielumgebungen zu erlangen. Dabei kombinieren sie verschiedene Methoden wie Authentifizierungs-Spearphishing, Passwort-Spray, Brute-Force und andere Angriffe auf Zugangsdaten. Dieses Angriffsmuster wurde seit mindestens Ende Mai 2023 als Teil einer umfassenderen Kampagne zur Abgreifung von Zugangsdaten beobachtet.

Um ihre Angriffe zu erleichtern, verwenden die Angreifer Microsoft 365-Tenants kleiner Unternehmen, die zuvor bereits kompromittiert wurden. Diese Tenants dienen nun als Hosts für die Webseiten, die für die Social-Engineering-Angriffe genutzt werden. Die Angreifer benennen den kompromittierten Tenant um, fügen eine neue onmicrosoft.com-Subdomäne hinzu und erstellen einen neuen Benutzer, der mit dieser Domäne verknüpft ist. Dabei verwenden sie Schlüsselwörter, die mit Sicherheit oder Produktnamen in Verbindung stehen, um eine neue Subdomäne und einen neuen Mandantennamen zu erstellen und den Nachrichten eine gewisse Legitimität zu verleihen.

Von diesem neuen Nutzer werden dann Nachrichten an den Ziel-Tenant gesendet. Der Zielbenutzer erhält zum Beispiel eine Microsoft Teams-Nachrichtenanfrage von einem vermeintlichen externen Benutzer, der sich als technischer Supportmitarbeiter oder als Mitglied des Sicherheitsteams ausgibt. Wenn der Nutzer die Nachrichtenanfrage akzeptiert, erhält er eine weitere Microsoft Teams-Nachricht mit der Aufforderung, einen von Microsoft übermittelten Code in die Microsoft Authenticator-App auf seinem Mobilgerät einzugeben. Wenn der Nutzer auf diesen Trick hereinfällt und den Code bestätigt, erhält der Angreifer ein Authentifizierungstoken, mit dem er Zugriff auf das Microsoft 365-Konto des Benutzers erhält.

Microsoft hat beobachtet, dass die Angreifer nach der Kompromittierung weitere Aktivitäten durchführen. Oftmals läuft dies darauf hinaus, dass sie Informationen aus dem kompromittierten Microsoft 365-Tenant stehlen. In einigen Fällen versuchen die Angreifer auch, ein Gerät über Microsoft Entra ID (ehemals Azure Active Directory) als verwaltetes Gerät zur Organisation hinzuzufügen. Das Ziel ist vermutlich, die Richtlinien für den bedingten Zugriff zu umgehen, die normalerweise nur verwalteten Geräten den Zugriff auf bestimmte Ressourcen erlauben. Weitere Details dazu sind in Microsofts Beitrag zu finden, in dem auch Ratschläge gegeben werden, wie man sich gegen solche Angriffe schützen kann.

Midnight Blizzard, auch bekannt als NOBELIUM, APT29, UNC2452 und Cozy Bear, ist ein Cyber-Bedrohungsakteur mit Sitz in Russland und wird dem russischen Auslandsgeheimdienst (SVR) zugeordnet. Die Gruppe hat ihren Fokus hauptsächlich auf Regierungen, diplomatische Einrichtungen, Nichtregierungsorganisationen (NRO) und IT-Dienstleister in den USA und Europa gerichtet. Ihre Aktivitäten konzentrieren sich auf die langjährige und gezielte Spionage ausländischer Interessen, die bis ins Jahr 2018 zurückverfolgt werden kann. Laut Microsoft kompromittiert die Gruppe häufig gültige Konten und setzt in einigen speziellen Fällen auch fortgeschrittene Techniken ein, um die Authentifizierungsmechanismen innerhalb einer Organisation zu untergraben und so Zugang zu erweitern und Entdeckung zu vermeiden.

Sicherheitsforscher haben beobachtet, dass Midnight Blizzard konsequent und hartnäckig vorgeht, um ihre Ziele zu erreichen. Sie nutzen verschiedene Methoden, um den Erstzugang zu erlangen, darunter gestohlene Anmeldeinformationen, Angriffe auf die Lieferkette, Ausnutzung lokaler Umgebungen, um in die Cloud einzudringen, die Ausnutzung der Vertrauenskette von Dienstanbietern, um Zugang zu nachgelagerten Kunden zu erhalten, sowie die Verwendung von spezifischer Malware wie FOGGYWEB und MAGICWEB für den Active Directory Federation Service (AD FS). Midnight Blizzard (NOBELIUM) wurde von Partner-Sicherheitsanbietern identifiziert und ist weiterhin eine bedeutende Bedrohung im Bereich der Cybersicherheit.