近日，微軟稱(chēng)有一個(gè)與俄羅斯對(duì)外情報(bào)局有關(guān)的名為APT29的黑客組織，針對(duì)全球數(shù)十個(gè)組織包括政府機(jī)構(gòu)等進(jìn)行了網(wǎng)絡(luò)釣魚(yú)攻擊。

創(chuàng)新互聯(lián)公司專(zhuān)注于企業(yè)全網(wǎng)營(yíng)銷(xiāo)推廣、網(wǎng)站重做改版、隆昌網(wǎng)站定制設(shè)計(jì)、自適應(yīng)品牌網(wǎng)站建設(shè)、HTML5、商城網(wǎng)站建設(shè)、集團(tuán)公司官網(wǎng)建設(shè)、成都外貿(mào)網(wǎng)站制作、高端網(wǎng)站制作、響應(yīng)式網(wǎng)頁(yè)設(shè)計(jì)等建站業(yè)務(wù)，價(jià)格優(yōu)惠性價(jià)比高，為隆昌等各大城市提供網(wǎng)站開(kāi)發(fā)制作服務(wù)。

微軟方面透露，根據(jù)目前調(diào)查顯示，此次攻擊活動(dòng)影響了全球約40個(gè)組織。并且此次攻擊活動(dòng)表明該黑客組織將政府、非政府組織(ngo)、IT服務(wù)、技術(shù)、離散制造業(yè)和媒體部門(mén)等設(shè)置成了特定間諜目標(biāo)。

黑客利用被入侵的 Microsoft 365 租戶創(chuàng)建了新的技術(shù)支持主題域并發(fā)送技術(shù)支持誘餌，試圖利用社交工程策略欺騙目標(biāo)組織的用戶。

他們的目的是操縱用戶批準(zhǔn)多因素身份驗(yàn)證（MFA）提示，最終竊取他們的憑證。

攻擊者利用被入侵的 Microsoft 365 租戶創(chuàng)建了以技術(shù)支持為主題的新域。這些新域是 "onmicrosoft.com "域的一部分，而 "onmicrosoft.com "域是一個(gè)合法的微軟域，在沒(méi)有創(chuàng)建自定義域的情況下，Microsoft 365 會(huì)自動(dòng)將其用作備用域。

然后，他們利用這些域發(fā)送技術(shù)支持誘餌，欺騙目標(biāo)組織的用戶批準(zhǔn)多因素身份驗(yàn)證 (MFA) 提示。

APT29團(tuán)隊(duì)網(wǎng)絡(luò)釣魚(yú)消息，圖源：微軟

由于這些信息均來(lái)自合法的 onmicrosoft.com 域名，這使得這些假冒的微軟支持信息看起來(lái)很值得信賴。

根據(jù)雷德蒙德的公告，威脅行為者的最終目的是竊取目標(biāo)用戶的憑證。

微軟方面補(bǔ)充稱(chēng)：在某些情況下，行為者試圖通過(guò)微軟 Entra ID（前身為 Azure Active Directory）將設(shè)備添加到組織中作為受管設(shè)備，這很可能是為了規(guī)避為限制受管設(shè)備訪問(wèn)特定資源而配置的條件訪問(wèn)策略。

該公司報(bào)告稱(chēng)，已成功阻止俄羅斯威脅組織在其他攻擊中使用這些域，目前正在積極應(yīng)對(duì)并降低該活動(dòng)的影響。

Jumpsec安全研究人員上個(gè)月發(fā)現(xiàn)一個(gè)安全問(wèn)題

上個(gè)月，Jumpsec安全研究人員發(fā)現(xiàn)Microsoft Teams中存在一個(gè)安全問(wèn)題，該問(wèn)題可讓任何人使用由美國(guó)海軍紅隊(duì)成員 Alex Reid 開(kāi)發(fā)的名為 TeamsPhisher 的 Python 工具繞過(guò)對(duì)來(lái)自外部租戶的傳入文件的限制，但微軟拒絕解決此問(wèn)題。

JumpSec 在 6 月份報(bào)告該漏洞時(shí)，微軟表示該漏洞 "不符合立即提供服務(wù)的標(biāo)準(zhǔn)"。

BleepingComputer 也聯(lián)系了微軟，詢問(wèn)是否有計(jì)劃修復(fù)這個(gè)問(wèn)題，并被告知客戶應(yīng)該注意可疑信息。

但微軟發(fā)言人告訴 BleepingComputer：他們已經(jīng)注意到這個(gè)報(bào)告，并確定它是依靠社會(huì)工程學(xué)而成功的。一直以來(lái)微軟都鼓勵(lì)客戶養(yǎng)成良好的上網(wǎng)計(jì)算習(xí)慣，包括在點(diǎn)擊網(wǎng)頁(yè)鏈接、打開(kāi)未知文件或接受文件傳輸時(shí)保持謹(jǐn)慎。

不幸的是，APT29的社會(huì)工程攻擊也影響了政府機(jī)構(gòu)，這凸顯了這種攻擊可能產(chǎn)生的巨大影響，即使是對(duì)保護(hù)良好的實(shí)體。

黑客組織APT29已成功隱蔽多年

APT29 是俄羅斯對(duì)外情報(bào)局 (SVR) 的黑客部門(mén)，三年前曾策劃過(guò) SolarWinds 供應(yīng)鏈攻擊事件，導(dǎo)致多個(gè)美國(guó)聯(lián)邦機(jī)構(gòu)遭到入侵。

自那次事件后，這個(gè)黑客組織還利用隱蔽的惡意軟件（包括 TrailBlazer 和 GoldMax Linux 后門(mén)變種）滲透到其他組織的網(wǎng)絡(luò)中，成功隱蔽了多年一直未被發(fā)現(xiàn)。

最近，微軟披露，該黑客組織正在使用新的惡意軟件，奪取活動(dòng)目錄聯(lián)盟服務(wù)（ADFS）的控制權(quán)，以 Windows 系統(tǒng)中任何用戶的身份登錄。

他們瞄準(zhǔn)了北約國(guó)家實(shí)體的 Microsoft 365 賬戶，試圖獲取與外交政策相關(guān)的信息。同時(shí)，他們還發(fā)起了一系列網(wǎng)絡(luò)釣魚(yú)活動(dòng)，明確針對(duì)歐洲各國(guó)政府、大使館和高級(jí)官員。

網(wǎng)站名稱(chēng)：俄黑客組織發(fā)起大范圍網(wǎng)絡(luò)釣魚(yú)攻擊，影響全球多個(gè)政府機(jī)構(gòu)！
當(dāng)前網(wǎng)址：http://uogjgqi.cn/article/djeoids.html