עד כמה מסוכנת קבוצת התקיפה שמקושרת לממשל הרוסי
חברת אבטחת המידע ESET מתייחסת למידע שפורסם אודות קבוצת תקיפה המקושרת לממשלה הרוסית משתמשת ב-Microsoft Teams לביצוע מתקפת פישינג
- קובי עוזיאלי
- י"ט אב התשפ"ג
לפי דו"ח של צוות מודיעין האיומים של Red-mond’s, קבוצת תקיפה המקושרת לממשלה רוסית משתמשת ב-Microsoft Teams כדי לבצע מתקפות פישינג ולהשיג נתוני התחברות לארגונים. על הכוונת של הקבוצה: ארגונים לא ממשלתיים, ארגוני NGO, מגזרי טכנולוגיה ושירותי IT.
הקבוצה אותה מכנה מיקרוסופט Midnight Blizzard משתמשת בחשבונות Microsoft 365 שכבר נפרצו בעבר ונמצאים בבעלות עסקים קטנים כדי ליצור דומיינים חדשים המופיעים כישויות תמיכה טכנית.
התוקפים שולחים הודעות של Microsoft Teams המנסות לגנוב אישורי התחברות מארגונים על ידי מעורבות של המשתמש וקבלת אישור של הנחיות אימות רב-גורמי.
מיקרוסופט מציינת כי מדובר ב"לפחות 40 ארגונים גלובליים ייחודיים", מה שמרמז על מבצע ריגול סייבר ממוקד ביותר נגד מטרות בארה"ב ובאירופה.
בחברת אבטחת המידע ESET מתייחסים לדיווח: לא רק הודעות דוא"ל זדוניות צריך לחפש, אלא עכשיו שחקנים זדוניים מנצלים את טימס. למרות שההתקפות אינן מתוחכמות מבחינה טכנית, הפעם, הן מסתמכות על טכניקת הנדסה חברתית משוכללת המסתתת חשבונות של עסקים קטנים שנפגעו בעבר כחשבונות תמיכה טכנית ומשתמשת בישויות ה"אמינות למראה" הללו כדי לפתות את הקורבן לקבל בקשה חיצונית לְשׂוֹחֵחַ.
לפי מיקרוסופט, Midnight Blizzard המכונה גם The Dukes ו- APT 29, מקושרת לשירות הביון הזר של רוסיה (SVR) השתמשה בשיטה זו כדי לנהל מסע ריגול סייבר. ברגע שיצרו קשר עם פקידים בגופים ממשלתיים, ארגונים לא ממשלתיים וחברות יעד, הקבוצה מפתה את הקורבן ללחוץ על קישור זדוני המבקש אישורי התחברות.
התקפות Spearphishing מכוונות לאנשים בעלי גישה למידע ספציפי, ובכך מחייבות את התוקפים לבצע עבודת רקע כדי לחדד את גישתם, להשיג את אמון הקורבנות שלהם ולפתות אותם. כמו בדואר האלקטרוני שלך, עליך להיות סקפטי גם לגבי גישה לא רצויה של כל אדם חיצוני לארגון שמנסה להגיע דרך Teams."
הוספת תגובה
לכתבה זו טרם התפרסמו תגובות