俄國駭客新手法!利用Microsoft Teams進行網釣攻擊

俄國駭客新手法!利用Microsoft Teams進行網釣攻擊

俄羅斯駭客組織Midnight Blizzard近期透過Microsoft Teams平台進行了一系列的網路釣魚攻擊。這些駭客先滲透了多個Microsoft 365小型企業租戶,再利用這些租戶的權限建立合法的子網域,進而透過Teams傳送訊息給目標組織的對象,企圖騙取金鑰(token)。自今年5月以來,已有超過30個組織受到影響,主要攻擊對象包括政府組織、外交單位、非政府組織和IT服務供應商。

駭客利用子網域和Microsoft Teams展開攻擊

駭客在滲透了Microsoft 365租戶後,利用其名義建立新的onmicrosoft.com子網域,多半以安全或產品名稱為主題,再新增使用者以傳送Microsoft Teams訊息。一個例子是假冒微軟身分認證保護服務,誘導使用者開啟Microsoft Authenticator程式,駭客便能存取使用者的Microsoft 365帳號。

Midnight Blizzard的目的和手法

Midnight Blizzard的攻擊目的主要為間諜行動。自2018年初以來,資安社群就一直在追蹤這個組織,了解其使用了各種手法進行攻擊,如竊取憑證、供應鏈攻擊、利用對服務供應商的信任來接觸下游客戶等。

微軟的防護建議

為了抵禦這些攻擊,微軟提出了一系列的防護建議,如部署反網釣機制、限制與外部網域的通訊、僅開放已知裝置,並教育使用者關於社交工程的風險。此外,也應教育Microsoft Teams使用者如何辨識來自外部的標記,以加強整體的安全防護。