Nouvelles Du Monde

Leurres de phishing très ciblés, déguisés en chats Teams

Leurres de phishing très ciblés, déguisés en chats Teams

2023-08-09 23:17:15

RÉSUMÉ EXÉCUTIF:

Plus eun 270 millions les gens vousConsultez Microsoft Teams tous les mois, et ce n’est pas la première fois que des pirates tentent d’établir la persistance via Teams.

Les cybercriminels utilisent Teams pour lancer des attaques de phishing remarquablement sophistiquées. Ces attaques ont touché 40 entreprises mondiales dans des secteurs tels que les services informatiques, la technologie, le gouvernement et la fabrication.

“Il s’agit d’une escroquerie de phishing hautement sophistiquée qui serait presque impossible à détecter pour un œil non averti”, a expliqué le PDG de My1Login. Mike Newman.

Attaques de phishing des équipes

Capture d’écran de la demande d’assistance du compte contrôlé par Midnight Blizzard. Image reproduite avec l’aimable autorisation de Microsoft.

Lors de ces attaques, qui ont commencé en mai, les cybercriminels ont exploité des comptes Microsoft 365 précédemment compromis – qui appartenaient à de petites entreprises – pour concevoir de nouveaux domaines qui imitaient les sites de support technique. En termes simples, ces cybercriminels se faisaient passer pour des groupes d’assistance technique.

Via les domaines des comptes compromis, les cybercriminels ont armé les messages des équipes, envoyant des leurres qui tentaient de voler les informations d’identification des employés ciblés qui travailler pour des organisations mondiales uniques.

Compromettre Azure

Une fois les informations d’identification obtenues, les cybercriminels ont renommé les comptes compromis, ajouté de nouveaux utilisateurs et envoyé de nouveaux messages aux victimes. Dans de nombreux cas, les attaquants ont utilisé des mots-clés liés à la sécurité ou au nom du produit dans les lignes d’objet pour persuader les victimes d’ouvrir les messages.

Selon Microsoft, en termes d’utilisation de domaines compromis de petites entreprises, le groupe de menaces a été arrêté. Cependant, Microsoft continue d’enquêter sur l’incident et la tentative plus large de compromettre les locataires Azure légitimes.

Les cybercriminels ont principalement tenté de voler des informations. Dans certains cas, les acteurs de la menace ont tenté d’ajouter un appareil à une organisation donnée via Microsoft Entra ID (anciennement Azure Active Directory), probablement dans le but de contourner les politiques d’accès conditionnel configurées pour limiter l’accès à des ressources spécifiques (aux ressources gérées). appareils uniquement).

Les clients ciblés ont été informés de l’incident.

Informations sur l’attaquant

Ces attaquants sont connus pour identifier et mettre en œuvre de nouvelles tactiques, techniques et procédures (TTP) et sont soupçonnés d’avoir exécuté l’attaque contre SolarWinds.

Les conclusions des équipes sont apparues quelques jours seulement après que des attaques de phishing visant des entités diplomatiques à travers l’Europe de l’Est ont également été attribuées au groupe.

Microsoft suit les attaquants sous le nom de Midnight Blizzard (anciennement noble). D’autres analystes du secteur connaissent le groupe sous le nom d’APT29, BlueBravo, Cozy Bear, Iron Hemlock et/ou The Dukes. On pense que ces attaquants travaillent pour un État-nation.

Comment éviter les escroqueries au support Teams

  • Mettez en œuvre des méthodes d’authentification résistantes au phishing, y compris l’authentification multifacteur qui prend en charge une stratégie de confiance zéro.
  • Utiliser force d’authentification d’accès conditionnel pour la critiqueles candidatures.
  • Pour Microsoft 365, laissez l’audit activé afin que les enregistrements d’audit puissent être examinés, si nécessaire.
  • Au nom de votre organisation, comprenez et sélectionnez les paramètres d’accès optimaux pour la collaboration externe.
  • Éduquez les utilisateurs sur les menaces d’ingénierie sociale et de phishing d’informations d’identification et incluez spécifiquement des informations sur l’abstention d’entrer des codes MFA envoyés via tout type de message non sollicité.
  • Traitez les demandes d’authentification qui n’ont pas été lancées par l’utilisateur comme malveillantes.

Pour en savoir plus sur la protection des canaux de messagerie instantanée, comme Teams, veuillez consulter la couverture récente de CyberTalk.org. Enfin, pour recevoir des nouvelles, des informations et des analyses de pointe sur la cybersécurité en temps opportun, veuillez vous inscrire au newsletter cybertalk.org.



#Leurres #phishing #très #ciblés #déguisés #chats #Teams
1691620578

Facebook
Twitter
LinkedIn
Pinterest

Leave a Comment

Save my name, email, and website in this browser for the next time I comment.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

RECENT POSTS
ADVERTISEMENT
Tags
Afrique Allemagne Asie Bundesliga Chine Crime Culture dernières nouvelles Des sports Divertissement Divertissement entreprise Football France funny fyp Guerre International Israël journal quotidien la criminalité MLB monde musique Médias NFL NOUS nouvelles politique Pomme Russie Santé santé Science Sciences et technologies Société sport Sports technologie texte pour parler Ukraine vidéo Économie États Unis économie