El grupo de hackers conocido como Midnight Blizzard (anteriormente denominado Nobeliam), con sede en Rusia y vinculado al servicio de inteligencia exterior del país, ha estado atacando activamente a organizaciones mundiales para robar credenciales de Microsoft Teams. Estos ataques tan selectivos han afectado a menos de 40 organizaciones mundiales desde finales de mayo, según un informe de Microsoft.
Los atacantes suelen entablar conversaciones con los usuarios en chats de Microsoft Teams, haciéndose pasar por miembros del servicio de soporte técnico. La información fue detallada por investigadores de Microsoft en una entrada de blog el miércoles.
Midnight Blizzard, también conocida como APT29, se dirige principalmente a gobiernos, entidades diplomáticas, ONG y proveedores de servicios informáticos, principalmente en Estados Unidos y Europa. La investigación de Microsoft revela que la campaña se ha dirigido a sectores específicos para objetivos de espionaje, incluidos gobiernos, organizaciones no gubernamentales (ONG), servicios de TI, tecnología, fabricación discreta y medios de comunicación.
Los hackers utilizan usuarios de Microsoft 365 vulnerados para crear dominios que se asemejan a los de soporte técnico legítimo. Envían mensajes centrados en el soporte técnico, intentando manipular a los usuarios para que aprueben las solicitudes de autenticación multifactor (MFA), robando finalmente sus credenciales. Los mensajes, procedentes del dominio legítimo onmicrosoft.com, pueden parecer auténticos, lo que aumenta la probabilidad de engaño.