366/66 (IT) ประจำวันศุกร์ที่ 4 สิงหาคม 2566
ข่าวกรองของ Microsoft รายงานว่ากลุ่มจารกรรมไซเบอร์ APT29 ที่มีความเชื่อมโยงกับรัสเซีย หรือที่รู้จักกันในชื่อ ( SVR group, Cozy Bear, Nobelium, Midnight Blizzard และ The Dukes ) ได้ดำเนินการโจมตีแบบ Phishing ผ่าน Microsoft Teams ที่มุ่งเป้าไปที่องค์กรและหน่วยงานรัฐบาลหลายสิบแห่งทั่วโลก โดย กลุ่ม APT29 ร่วมกับกลุ่ม APT28 มีส่วนเกี่ยวข้องในการแฮ็กข้อมูลของคณะกรรมการแห่งชาติของพรรค Democratic และการโจมตีที่มุ่งเป้าไปที่การเลือกตั้งประธานาธิบดีสหรัฐฯ ในปี 2559
Microsoft Threat Intelligence รายงานว่าการโจมตีทาง social engineering แบบกำหนดเป้าหมายสูง โดยใช้ Phishing เพื่อหลอกลวงการโจรกรรมข้อมูลที่ส่งในแชทของ Microsoft Teams โดยที่ผู้โจมตีได้เช่า Microsoft 365 เพื่อสร้างโดเมนใหม่เป็นหน่วยงานสนับสนุนด้านเทคนิค จากนั้นกลุ่ม APT29 ได้ใช้ประโยชน์จากข้อความ Teams เพื่อส่งหลอกล่อขโมยข้อมูลประจำตัวจากองค์กรเป้าหมาย จากข้อมูลของ Microsoft โดยแฮ็กเกอร์ที่ได้กำหนดเป้าหมายไปยังองค์กรระดับโลกน้อยกว่า 40 แห่ง รวมถึงหน่วยงานรัฐบาล องค์กรพัฒนาเอกชน (NGOs) บริการด้านไอที เทคโนโลยี การผลิตแบบแยกส่วน และภาคส่วนสื่อ
ขั้นตอนการดำเนินการของผู้โจมตีจะส่งคำขอข้อความ Microsoft Teams ไปยังเหยื่อ ซึ่งข้อความดังกล่าวนั้นถูกส่งมาจากผู้ใช้ภายนอกที่ปลอมตัวเป็นทีมงานสนับสนุนด้านเทคนิคหรือทีมรักษาความปลอดภัยและเมื่อยอมรับคำขอข้อความ เหยื่อจะได้รับข้อความ Microsoft Teams จากผู้โจมตีที่พยายามหลอกให้ป้อนรหัสลงในแอป Microsoft Authenticator บนอุปกรณ์เคลื่อนที่ และเมื่อเหยื่อยอมรับคำขอข้อความและป้อนรหัสลงในแอป Microsoft Authenticator ผู้โจมตีจะได้รับโทเค็นเพื่อรับรองความถูกต้องในฐานะผู้ใช้งานจากนั้นผู้โจมตีจะสามารถเข้าถึงบัญชี Microsoft 365 ของเหยื่อได้ โดย Microsoft ได้แชร์ Indicators of Compromise (IoCs) สำหรับการโจมตีเและคำแนะนำเพื่อป้องกันการโจมตี
แหล่งข่าว ( https://securityaffairs.com/149103/apt/apt29-microsoft-teams-phishing-attacks.html )
