Microsoft Teams Targeted in Midnight Blizzard Phishing Attacks
2023/08/03 InfoSecurity — Microsoft Teams のチャットを悪用して認証情報を盗むフィッシングのルアーを配信する、高度に標的化されたソーシャル・エンジニアリング攻撃を、Microsoft Threat Intelligence が検知した。8月2日に Microsoft が発表したアドバイザリによると、これらの攻撃は Midnight Blizzard という脅威アクターによるものとのことだ。同グループは、以前は Nobelium と呼ばれていた。この、ロシアを拠点とする攻撃は、中小企業が所有する Microsoft 365 のテナントを悪用し、正規のものを装うテクニカル・サポート・エンティティを作成するという手口を用いるものだ。
Midnight Blizzard は、侵害したテナントのドメインを悪用して、Microsoft Teams からメッセージを送信し、ユーザーに多要素認証 (MFA) のプロンプトを承認するよう誘導した上で認証情報を盗み出す。
Microsoft の調査により、およそ 40件のグローバル組織が、このキャンペーンの影響を受けていることが判明した。標的となったセクターは、政府/非政府組織 (NGO)/IT サービス/テクノロジー/ディスクリート製造/メディア事業体などであり、Midnight Blizzard によるスパイ活動の狙いが示唆されている。
My1Login の CEO である Mike Newman は、攻撃に本物の Microsoft ドメインが悪用されているため、警戒心が強くセキュリティ意識の高いユーザーでなければ、このプロンプトを調査して詐欺と見破ることは不可能だろうと指摘している。彼は、「その結果として、標的となった組織の数は少なかったが、この攻撃により多数の犠牲者が生み出されただろう」と説明している。
Microsoft は、この脅威に対する継続的な取り組みの一環として、攻撃者がドメインを使用するのを防ぐための措置を講じ、攻撃の影響を改善するために取り組んでいる。影響を受けた顧客には、通知がダイレクトに送られている。
同社は組織に対して、このような攻撃から保護するためには、フィッシングに耐性のある認証方法を導入し、重要なアプリケーションには条件付きアクセス認証の強度を使用し、ソーシャル・エンジニアリングやクレデンシャル・フィッシングの脅威についてユーザーを教育するよう推奨している。
Teams に関しては、2023/05/17 に「Microsoft Teams を狙うソーシャル・エンジニアリング:新たな手口が発見された」という、興味深い記事がポストされていますが、今日の記事との関連性は見えてきません。それにしても、今年に入ってから、Teams 関連の記事が増えているようです。よろしければ、Teams で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.