Auf der Plattform kam es kürzlich zu einem Social-Engineering-Angriff auf Microsoft Teams
4 Minute. lesen
Veröffentlicht am
Teile diesen Artikel
Verbessern Sie diesen Leitfaden
Lesen Sie unsere Offenlegungsseite, um herauszufinden, wie Sie MSPoweruser dabei helfen können, das Redaktionsteam zu unterstützen Lesen Sie weiter
Der russische Bedrohungsakteur Midnight Blizzard führte kürzlich einen Social-Engineering-Angriff auf Microsoft Teams auf der Plattform durch. Der zuvor verwendete Bedrohungsakteur kompromittierte Microsoft 365-Mandanten um neue Domänen zu erstellen, die als Einheiten des technischen Supports erscheinen. Unter dieser Tarnung versucht Midnight Blizzard dann mithilfe von Teams-Nachrichten, Anmeldeinformationen von Organisationen zu stehlen, indem es einen Benutzer anspricht und die Zustimmung zu Eingabeaufforderungen zur Multifaktor-Authentifizierung (MFA) einholt.
Alle Organisationen, die Microsoft Teams verwenden, werden aufgefordert, die Sicherheitspraktiken zu verstärken und alle Authentifizierungsanfragen, die nicht vom Benutzer initiiert wurden, als böswillig zu behandeln.
Das geht aus ihrer neuesten Untersuchung hervorEtwa weniger als 40 globale Organisationen waren von dem Social-Engineering-Angriff auf Microsoft Teams betroffen. Wie bei früheren Angriffen dieser Bedrohungsakteure handelte es sich bei den Organisationen hauptsächlich um Regierungen, Nichtregierungsorganisationen (NGOs), IT-Dienste, Technologie, diskrete Fertigung und Mediensektoren. Dies macht Sinn, wenn man bedenkt, dass es sich bei Midnight Blizzard um einen russischen Bedrohungsakteur handelt, der zuvor von den Regierungen der USA und Großbritanniens als Auslandsgeheimdienst der Russischen Föderation bezeichnet wurde.
Die Angriffe ereigneten sich im Mai 2023. Wie Sie sich erinnern, verursachte zu dieser Zeit auch ein anderer Bedrohungsakteur, Storm-0558, schwere Schäden an den Servern von Microsoft.
Midnight Blizzard verwendet jedoch echte Microsoft Teams-Anmeldeinformationen von kompromittierten Konten, um Benutzer davon zu überzeugen, den Code in die Eingabeaufforderung auf ihrem Gerät einzugeben. Sie tun dies, indem sie sich als technisches Support- oder Sicherheitsteam ausgeben.
Laut Microsoft erfolgt dies bei Midnight Blizzard in drei Schritten:
- Der Zielbenutzer erhält möglicherweise eine Microsoft Teams-Nachrichtenanfrage von einem externen Benutzer, der sich als technischer Support oder Sicherheitsteam ausgibt.
- Wenn der Zielbenutzer die Nachrichtenanforderung akzeptiert, erhält der Benutzer eine Microsoft Teams-Nachricht vom Angreifer, mit der er versucht, ihn dazu zu verleiten, einen Code in die Microsoft Authenticator-App auf seinem Mobilgerät einzugeben.
- Wenn der Zielbenutzer die Nachrichtenanforderung akzeptiert und den Code in die Microsoft Authenticator-App eingibt, erhält der Bedrohungsakteur ein Token zur Authentifizierung als Zielbenutzer. Der Akteur erhält Zugriff auf das Microsoft 365-Konto des Benutzers, nachdem er den Authentifizierungsvorgang abgeschlossen hat.
Microsoft hat eine Liste der E-Mail-Namen veröffentlicht, auf die Sie achten sollten:
Kompromissindikatoren
| Indikator | Typ | Beschreibung |
| msftprotection.onmicrosoft[.]com | Domain Name | Von böswilligen Akteuren kontrollierte Subdomain |
| IdentityVerification.onmicrosoft[.]com | Domain Name | Von böswilligen Akteuren kontrollierte Subdomain |
| AccountsVerification.onmicrosoft[.]com | Domain Name | Von böswilligen Akteuren kontrollierte Subdomain |
| azuresecuritycenter.onmicrosoft[.]com | Domain Name | Von böswilligen Akteuren kontrollierte Subdomain |
| teamsprotection.onmicrosoft[.]com | Domain Name | Von böswilligen Akteuren kontrollierte Subdomain |
Sie können sich und Ihr Unternehmen jedoch vor den Social-Engineering-Angriffen von Microsoft Teams schützen, indem Sie die folgenden Empfehlungen befolgen:
- Pilotieren und mit der Bereitstellung beginnen Phishing-resistente Authentifizierungsmethoden für Benutzer.
- Implementieren Sie Authentifizierungsstärke für bedingten Zugriff eine Phishing-resistente Authentifizierung für Mitarbeiter und externe Benutzer für kritische Apps zu fordern.
- Geben Sie vertrauenswürdige Microsoft 365-Organisationen an um zu definieren, welche externen Domänen zum Chatten und Treffen zugelassen oder gesperrt sind.
- Behalten Microsoft 365-Überwachung aktiviert, sodass Prüfaufzeichnungen bei Bedarf untersucht werden können.
- Verstehen und wählen Sie das aus Beste Zugriffseinstellungen für die externe Zusammenarbeit für Ihre Organisation.
- Nur bekannte Geräte zulassen die sich daran halten Von Microsoft empfohlene Sicherheitsgrundsätze.
- Benutzer schulen About Social Engineering und Anmeldedaten-Phishing-Angriffe, einschließlich der Unterlassung der Eingabe von MFA-Codes, die über unerwünschte Nachrichten jeglicher Art gesendet werden.
- Weisen Sie Microsoft Teams-Benutzer an, die Kennzeichnung „Extern“ bei Kommunikationsversuchen externer Entitäten zu überprüfen, bei der Weitergabe vorsichtig zu sein und niemals ihre Kontoinformationen weiterzugeben oder Anmeldeanfragen über den Chat zu autorisieren.
- Informieren Sie die Benutzer darüber Überprüfen Sie die Anmeldeaktivität und markieren Sie verdächtige Anmeldeversuche als „Das war nicht ich“.
- Implementieren Sie App-Steuerung für bedingten Zugriff in Microsoft Defender für Cloud-Apps für Benutzer, die eine Verbindung über nicht verwaltete Geräte herstellen.
Was halten Sie von diesen Social-Engineering-Angriffen auf Microsoft Teams? Lassen Sie es uns im Kommentarbereich unten wissen.
