Microsoft Teams 平台最近發生了一次社會工程攻擊
4分鐘讀
發表於
分享此文章
改進本指南
最近,俄羅斯威脅組織 Midnight Blizzard 在 Microsoft Teams 平台上發起了一次社會工程攻擊。 之前使用的威脅行為者 受到威脅的 Microsoft 365 租戶 創建顯示為技術支持實體的新域。 在這些偽裝下,Midnight Blizzard 然後使用 Teams 消息,通過吸引用戶並獲取多因素身份驗證 (MFA) 提示的批准來嘗試竊取組織的憑據。
我們鼓勵所有使用 Microsoft Teams 的組織加強安全實踐,並將非用戶發起的任何身份驗證請求視為惡意請求。
根據他們的最新調查,大約不到 40 個全球組織受到 Microsoft Teams 社會工程攻擊的影響。 與這些威脅行為者之前發起的攻擊一樣,這些組織主要是政府、非政府組織 (NGO)、IT 服務、技術、離散製造和媒體部門。 這是有道理的,因為午夜暴雪是俄羅斯威脅行為者,此前美國和英國政府將其視為俄羅斯聯邦的對外情報局。
這些攻擊發生在 2023 年 0558 月。如果您還記得的話,另一個威脅參與者 Storm-XNUMX 也在同一時間對 Microsoft 的服務器造成了一些嚴重損壞。
然而,Midnight Blizzard 使用來自受感染帳戶的真實 Microsoft Teams 憑據來嘗試說服用戶在其設備上的提示中輸入代碼。 他們通過偽裝成技術支持或安全團隊來做到這一點。
根據微軟的說法,午夜暴雪分 3 個步驟來實現:
- 目標用戶可能會從冒充技術支持或安全團隊的外部用戶接收 Microsoft Teams 消息請求。
- 如果目標用戶接受消息請求,用戶就會收到來自攻擊者的 Microsoft Teams 消息,試圖說服他們在移動設備上的 Microsoft Authenticator 應用中輸入代碼。
- 如果目標用戶接受消息請求並將代碼輸入 Microsoft Authenticator 應用,威脅行為者將獲得一個令牌來以目標用戶身份進行身份驗證。 完成身份驗證流程後,攻擊者可以訪問用戶的 Microsoft 365 帳戶。
Microsoft 發布了您應該小心的電子郵件名稱列表:
妥協指標
| 指標 | 類別 | 產品描述 |
| msftprotection.onmicrosoft[.]com | 域名 | 惡意行為者控制的子域 |
| IdentityVerification.onmicrosoft[.]com | 域名 | 惡意行為者控制的子域 |
| accountVerification.onmicrosoft[.]com | 域名 | 惡意行為者控制的子域 |
| azuresecuritycenter.onmicrosoft[.]com | 域名 | 惡意行為者控制的子域 |
| teamprotection.onmicrosoft[.]com | 域名 | 惡意行為者控制的子域 |
但是,您可以按照以下建議來保護您自己和您的組織免受 Microsoft Teams 社交工程攻擊:
- 試點並開始部署 防網絡釣魚的身份驗證方法 為用戶。
- 實施 條件訪問認證強度 要求對關鍵應用程序的員工和外部用戶進行防網絡釣魚身份驗證。
- 指定受信任的 Microsoft 365 組織 定義允許或阻止哪些外部域聊天和見面。
- 保持 Microsoft 365 審核 啟用以便在需要時可以調查審計記錄。
- 了解並選擇 外部協作的最佳訪問設置 為您的組織。
- 僅允許已知設備 堅持 Microsoft 推薦的安全基線.
- 教育用戶 關於 社會工程 憑證網絡釣魚攻擊,包括避免輸入通過任何形式的未經請求的消息發送的 MFA 代碼。
- 教育 Microsoft Teams 用戶驗證來自外部實體的通信嘗試的“外部”標記,對他們共享的內容保持謹慎,並且切勿通過聊天共享其帳戶信息或授權登錄請求。
- 教育用戶 查看登錄活動 並將可疑的登錄嘗試標記為“這不是我”。
- 實施 Microsoft Defender for Cloud Apps 中的條件訪問應用程序控制 適用於從非託管設備連接的用戶。
您如何看待這些 Microsoft Teams 社交工程攻擊? 請在下面的評論部分告訴我們。
