Ciberespiões russos derrotam número da Microsoft

Jun 25, 2023

Os ataques de spear-phishing do grupo avançado de ameaças persistentes Midnight Blizzard tiveram como alvo locatários do Microsoft 365 de pequenas empresas.

Um grupo estatal russo de ciberespionagem conhecido como APT29 tem lançado ataques de phishing contra organizações que usam mensagens de segurança falsas no Microsoft Teams, na tentativa de derrotar o método de notificação push de autenticação de dois fatores (2FA) da Microsoft, que depende da correspondência de números. “Nossa investigação atual indica que esta campanha afetou menos de 40 organizações globais únicas”, disse a Microsoft em um relatório. “As organizações visadas nesta atividade provavelmente indicam objetivos específicos de espionagem da Midnight Blizzard direcionados ao governo, organizações não governamentais (ONGs), serviços de TI, tecnologia, manufatura discreta e setores de mídia.”

Midnight Blizzard é o nome recentemente designado pela Microsoft para APT29, um grupo de ameaças que opera há muitos anos e é considerado pelos governos dos EUA e do Reino Unido como o braço hacker do serviço de inteligência estrangeiro da Rússia, o SVR. O APT29, também conhecido no setor de segurança como Cosy Bear ou NOBELIUM, esteve por trás do ataque à cadeia de suprimentos de software SolarWinds em 2020, que impactou milhares de organizações em todo o mundo, mas também foi responsável por ataques contra muitas instituições governamentais, missões diplomáticas e empresas de base industrial militar de todo o mundo. o mundo ao longo dos anos.

O APT29 obtém acesso a sistemas e redes usando uma grande variedade de métodos, inclusive por meio de explorações de dia zero, abusando de relações de confiança entre diferentes entidades dentro de ambientes de nuvem, implantando e-mails e páginas da web de phishing para serviços populares, por meio de pulverização de senhas e ataques de força bruta. e através de anexos de e-mail maliciosos e downloads da web.

Os últimos ataques de spear-phishing detectados pela Microsoft começaram em maio e provavelmente fizeram parte de uma campanha maior de comprometimento de credenciais que resultou primeiro no sequestro de locatários do Microsoft 365 que pertenciam a pequenas empresas. Os locatários do Microsoft 365 obtêm um subdomínio no domínio onmicrosoft.com geralmente confiável, então os invasores renomearam os locatários sequestrados para criar subdomínios com nomes relacionados à segurança e ao produto para dar credibilidade à próxima etapa de seu ataque de engenharia social.

A segunda etapa envolveu direcionar contas em outras organizações para as quais já obtiveram credenciais ou que tinham uma política de autenticação sem senha habilitada. Ambos os tipos de conta habilitaram a autenticação multifator por meio do que a Microsoft chama de notificações push de correspondência de número.

O método de notificação push 2FA envolve os usuários recebendo uma notificação em seus dispositivos móveis por meio de um aplicativo para autorizar uma tentativa de login. É uma implementação comum em muitos sites, mas os invasores começaram a explorá-la com o que é conhecido como fadiga 2FA ou MFA – uma tática de ataque que envolve enviar spam a um usuário cujas credenciais foram roubadas com solicitações contínuas de autorização push até que pensem que o sistema está funcionando mal e aceitar, ou pior, enviar spam aos usuários com ligações 2FA no meio da noite para aqueles que têm essa opção habilitada.

Outra forma comum de implementar 2FA é fazer com que o site exija um código gerado por um aplicativo autenticador no telefone do usuário. No entanto, os invasores também encontraram maneiras de contornar esse método, implementando páginas de phishing que atuam como proxies reversos entre o usuário e o site ou serviço alvo.

Em resposta a esse tipo de ataque, a Microsoft implementou outro método 2FA que envolve os sites da Microsoft enviando uma notificação push para o aplicativo Microsoft Authenticator no dispositivo móvel do usuário, solicitando que o usuário insira um número dentro do aplicativo. Este número é exibido pelo site durante o processo de autenticação. Este método é chamado de correspondência de números e se tornou o método padrão para todas as notificações push do Microsoft Authenticator a partir de 8 de maio.

Agora, se um invasor tentar se autenticar com as credenciais roubadas de um usuário, o usuário será solicitado em seu aplicativo Microsoft Authenticator a inserir um número para concluir o processo 2FA, mas o usuário não sabe o número exibido pelo site porque não é ele quem iniciou a autenticação em seu navegador. Então o APT29 decidiu vencer este novo desafio.