Microsoft warnt vor einem aktuell identifizierten Social Engineering-Angriffsmuster der Gruppe Midnight Blizzard, die zuvor noch unter dem Namen Nobelium tätig war. Laut dem Anbieter nutzen die Kriminellen bereits kompromittierte
Microsoft 365-Konten, vor allem von kleinen Unternehmen, um neue Domains zu erstellen, die als technische Support-Einheiten erscheinen.
Anschliessend versenden die Kriminellen über Microsoft Teams Nachrichten als Köder, mit denen sie versuchen, Anmeldeinformationen zu stehlen, indem ein Benutzer dazu gebracht wird, einer Aufforderung zur multifaktoriellen Authentifizierung (MFA) zuzustimmen.
Wie bei allen Social-Engineering-Ködern empfiehlt Microsoft Unternehmen, alle Benutzer auf bewährte Sicherheitspraktiken hinzuweisen und ihnen klarzumachen, dass alle Authentifizierungsanfragen, die nicht vom Benutzer initiiert wurden, als böswillig betrachtet werden sollten.
Bisher waren laut
Microsoft weniger als 40 Organisationen weltweit von dem genannten Vorgehen betroffen. Man habe diese, "wie bei jeder beobachteten Aktivität eines nationalstaatlichen Akteurs", benachrichtigt. Der Schwerpunkt der russischen Midnight Blizzard-Gruppe liegt demnach auf der Sammlung von Informationen durch langjährige und gezielte Spionage ausländischer Interessen, die bis Anfang 2018 zurückverfolgt werden kann.
In einem
Blog-Beitrag führt Microsoft konkrete Handlungsempfehlungen unter anderem für Authentifizierungsmethoden sowie Schulungsmassnahmen rund um Social Engineering- und allgemein Phising-Angriffe auf. Zudem nennen die Sicherheitsexperten Hinweise für eine mögliche Kompromittierung.
(sta)