Russische Cyberspione besiegen Microsoft-Nummer

Jun 25, 2023

Spear-Phishing-Angriffe der Advanced Persistent Threat Group Midnight Blizzard richteten sich gegen Microsoft 365-Mandanten kleiner Unternehmen.

Eine staatliche russische Cyberspionagegruppe namens APT29 hat Phishing-Angriffe gegen Organisationen gestartet, die gefälschte Sicherheitsnachrichten über Microsoft Teams verwenden, um die Push-Benachrichtigungsmethode der Zwei-Faktor-Authentifizierung (2FA) von Microsoft zu umgehen, die auf Nummernabgleich basiert. „Unsere aktuelle Untersuchung zeigt, dass von dieser Kampagne weniger als 40 einzelne globale Organisationen betroffen waren“, sagte Microsoft in einem Bericht. „Die von dieser Aktivität angegriffenen Organisationen weisen wahrscheinlich auf spezifische Spionageziele von Midnight Blizzard hin, die sich an Regierungen, Nichtregierungsorganisationen (NGOs), IT-Dienste, Technologie, diskrete Fertigung und Mediensektoren richten.“

Midnight Blizzard ist Microsofts neuer Name für APT29, eine Bedrohungsgruppe, die seit vielen Jahren operiert und von den Regierungen der USA und Großbritanniens als Hacker-Arm des russischen Auslandsgeheimdienstes SVR angesehen wird. APT29, in der Sicherheitsbranche auch als Cozy Bear oder NOBELIUM bekannt, stand hinter dem Software-Lieferkettenangriff von SolarWinds im Jahr 2020, der Tausende von Organisationen weltweit betraf, war aber auch für Angriffe auf viele Regierungsinstitutionen, diplomatische Vertretungen und militärisch-industrielle Basisunternehmen aus der ganzen Welt verantwortlich die Welt im Laufe der Jahre.

APT29 verschafft sich Zugang zu Systemen und Netzwerken mit einer Vielzahl von Methoden, unter anderem durch Zero-Day-Exploits, durch den Missbrauch von Vertrauensbeziehungen zwischen verschiedenen Entitäten in Cloud-Umgebungen, durch den Einsatz von Phishing-E-Mails und Webseiten für beliebte Dienste, durch Passwortspray und Brute-Force-Angriffe , und durch bösartige E-Mail-Anhänge und Web-Downloads.

Die jüngsten von Microsoft entdeckten Spear-Phishing-Angriffe begannen im Mai und waren wahrscheinlich Teil einer größeren Kampagne zur Kompromittierung von Anmeldedaten, die zunächst zur Entführung von Microsoft 365-Mandanten kleiner Unternehmen führte. Microsoft 365-Mandanten erhalten eine Subdomäne auf der allgemein vertrauenswürdigen Domäne onmicrosoft.com. Daher benannten die Angreifer die gekaperten Mandanten in erstellte Subdomänen mit sicherheits- und produktbezogenen Namen um, um dem nächsten Schritt ihres Social-Engineering-Angriffs Glaubwürdigkeit zu verleihen.

Der zweite Schritt bestand darin, Konten in anderen Organisationen ins Visier zu nehmen, für die sie bereits Anmeldeinformationen erhalten hatten oder für die eine passwortlose Authentifizierungsrichtlinie aktiviert war. Beide Kontotypen verfügen über eine Multi-Faktor-Authentifizierung über das, was Microsoft Push-Benachrichtigungen zum Nummernabgleich nennt.

Bei der 2FA-Push-Benachrichtigungsmethode erhalten Benutzer über eine App eine Benachrichtigung auf ihrem Mobilgerät, um einen Anmeldeversuch zu autorisieren. Es handelt sich um eine gängige Implementierung auf vielen Websites, aber Angreifer begannen damit, sie mit der sogenannten 2FA- oder MFA-Müdigkeit auszunutzen – einer Angriffstaktik, bei der ein Benutzer, dessen Anmeldedaten gestohlen wurden, mit kontinuierlichen Push-Autorisierungsanfragen so lange gespammt wird, bis sie glauben, dass das System nicht richtig funktioniert Akzeptieren Sie es oder, schlimmer noch, spammen Sie Benutzer mitten in der Nacht mit 2FA-Telefonanrufen für diejenigen, die diese Option aktiviert haben.

Eine weitere gängige Methode zur Implementierung von 2FA besteht darin, dass die Website einen Code erfordert, der von einer Authentifizierungs-App auf dem Telefon des Benutzers generiert wird. Allerdings haben Angreifer auch Wege gefunden, diese Methode zu umgehen, indem sie Phishing-Seiten implementieren, die als Reverse-Proxys zwischen dem Benutzer und der Zielwebsite oder dem Zieldienst fungieren.

Als Reaktion auf diese Art von Angriffen hat Microsoft eine weitere 2FA-Methode implementiert, bei der Microsoft-Websites eine Push-Benachrichtigung an die Microsoft Authenticator-App auf dem Mobilgerät des Benutzers senden, die den Benutzer auffordert, eine Nummer in der App einzugeben. Diese Nummer wird von der Website während des Authentifizierungsprozesses angezeigt. Diese Methode wird als Nummernvergleich bezeichnet und wurde ab dem 8. Mai zur Standardmethode für alle Microsoft Authenticator-Push-Benachrichtigungen gemacht.

Wenn nun ein Angreifer versucht, sich mit den gestohlenen Anmeldeinformationen eines Benutzers zu authentifizieren, wird der Benutzer in seiner Microsoft Authenticator-App aufgefordert, eine Nummer einzugeben, um den 2FA-Prozess abzuschließen, aber der Benutzer kennt die von der Website angezeigte Nummer nicht, da es sich nicht um ihn handelt wer die Authentifizierung in seinem Browser initiiert hat. Also machte sich APT29 daran, diese neue Herausforderung zu meistern.

Dies erreichten sie, indem sie die Zielbenutzer über Microsoft Teams über Konten kontaktierten, die unter den onmicrosoft.com-Subdomänen erstellt wurden, die sie auf den gekaperten Microsoft 365-Mandanten eingerichtet hatten. Opfer sahen beispielsweise Teams-Chat-Anfragen wie „Microsoft Identity Protection (Extern) möchte mit Ihnen chatten“, die von [email protected] kamen.

Wenn die Kontaktanfrage angenommen wurde, folgte eine Nachricht, die dem Opfer mitteilte, dass Änderungen an den Multi-Faktor-Authentifizierungseinstellungen seiner Konten festgestellt wurden und dass es seine Microsoft Authenticator-App öffnen und eine bestimmte Nummer eingeben muss, um seine Identität zu überprüfen . Natürlich handelte es sich um die Nummer, die die Angreifer von der Microsoft-Website erhalten hatten und die benötigt wurde, um die Zwei-Faktor-Authentifizierung zu umgehen und auf das Konto zuzugreifen.

„Der Akteur führt dann Post-Compromise-Aktivitäten durch, bei denen es sich typischerweise um Informationsdiebstahl vom kompromittierten Microsoft 365-Mandanten handelt“, so Microsoft-Forscher. „In einigen Fällen versucht der Akteur, ein Gerät über Microsoft Entra ID (ehemals Azure Active Directory) als verwaltetes Gerät zur Organisation hinzuzufügen. Dies ist wahrscheinlich ein Versuch, Richtlinien für den bedingten Zugriff zu umgehen, die so konfiguriert sind, dass der Zugriff auf bestimmte Ressourcen nur auf verwaltete Geräte beschränkt wird. ”

Zu den Empfehlungen von Microsoft an Unternehmen zur Eindämmung dieser Angriffe gehören: