近日，微軟稱有一個與俄羅斯對外情報局有關的名為APT29的黑客組織，針對全球數(shù)十個組織包括政府機構等進行了網(wǎng)絡釣魚攻擊。

微軟方面透露，根據(jù)目前調(diào)查顯示，此次攻擊活動影響了全球約40個組織。并且此次攻擊活動表明該黑客組織將政府、非政府組織(ngo)、IT服務、技術、離散制造業(yè)和媒體部門等設置成了特定間諜目標。

黑客利用被入侵的 Microsoft 365 租戶創(chuàng)建了新的技術支持主題域并發(fā)送技術支持誘餌，試圖利用社交工程策略欺騙目標組織的用戶。

他們的目的是操縱用戶批準多因素身份驗證（MFA）提示，最終竊取他們的憑證。

攻擊者利用被入侵的 Microsoft 365 租戶創(chuàng)建了以技術支持為主題的新域。這些新域是 "onmicrosoft.com "域的一部分，而 "onmicrosoft.com "域是一個合法的微軟域，在沒有創(chuàng)建自定義域的情況下，Microsoft 365 會自動將其用作備用域。

然后，他們利用這些域發(fā)送技術支持誘餌，欺騙目標組織的用戶批準多因素身份驗證 (MFA) 提示。

APT29團隊網(wǎng)絡釣魚消息，圖源：微軟

由于這些信息均來自合法的 onmicrosoft.com 域名，這使得這些假冒的微軟支持信息看起來很值得信賴。

根據(jù)雷德蒙德的公告，威脅行為者的最終目的是竊取目標用戶的憑證。

微軟方面補充稱：在某些情況下，行為者試圖通過微軟 Entra ID（前身為 Azure Active Directory）將設備添加到組織中作為受管設備，這很可能是為了規(guī)避為限制受管設備訪問特定資源而配置的條件訪問策略。

該公司報告稱，已成功阻止俄羅斯威脅組織在其他攻擊中使用這些域，目前正在積極應對并降低該活動的影響。

Jumpsec安全研究人員上個月發(fā)現(xiàn)一個安全問題

上個月，Jumpsec安全研究人員發(fā)現(xiàn)Microsoft Teams中存在一個安全問題，該問題可讓任何人使用由美國海軍紅隊成員 Alex Reid 開發(fā)的名為 TeamsPhisher 的 Python 工具繞過對來自外部租戶的傳入文件的限制，但微軟拒絕解決此問題。

JumpSec 在 6 月份報告該漏洞時，微軟表示該漏洞 "不符合立即提供服務的標準"。

BleepingComputer 也聯(lián)系了微軟，詢問是否有計劃修復這個問題，并被告知客戶應該注意可疑信息。

但微軟發(fā)言人告訴 BleepingComputer：他們已經(jīng)注意到這個報告，并確定它是依靠社會工程學而成功的。一直以來微軟都鼓勵客戶養(yǎng)成良好的上網(wǎng)計算習慣，包括在點擊網(wǎng)頁鏈接、打開未知文件或接受文件傳輸時保持謹慎。

不幸的是，APT29的社會工程攻擊也影響了政府機構，這凸顯了這種攻擊可能產(chǎn)生的巨大影響，即使是對保護良好的實體。

黑客組織APT29已成功隱蔽多年

APT29 是俄羅斯對外情報局 (SVR) 的黑客部門，三年前曾策劃過 SolarWinds 供應鏈攻擊事件，導致多個美國聯(lián)邦機構遭到入侵。

自那次事件后，這個黑客組織還利用隱蔽的惡意軟件（包括 TrailBlazer 和 GoldMax Linux 后門變種）滲透到其他組織的網(wǎng)絡中，成功隱蔽了多年一直未被發(fā)現(xiàn)。

最近，微軟披露，該黑客組織正在使用新的惡意軟件，奪取活動目錄聯(lián)盟服務（ADFS）的控制權，以 Windows 系統(tǒng)中任何用戶的身份登錄。

他們瞄準了北約國家實體的 Microsoft 365 賬戶，試圖獲取與外交政策相關的信息。同時，他們還發(fā)起了一系列網(wǎng)絡釣魚活動，明確針對歐洲各國政府、大使館和高級官員。