俄羅斯支援的駭客使用 Microsoft Teams 侵入政府機構
調查人員揭露了針對全球組織,包括政府機構,的社交工程攻擊
根據微軟的安全研究人員在週三的報告中指出,俄羅斯支援的駭客利用 Microsoft Teams 假冒技術支援人員,侵入了包括政府機構在內的許多全球組織。這次「高度針對性」的社交工程攻擊行動由微軟追蹤到的俄羅斯支援的駭客團體「午夜暴風雪」執行,此組織通常稱為 APT29 或 Cozy Bear。根據美國和英國執法機構的指稱,這個團體與 2020 年著名的 SolarWinds 攻擊事件有聯動,並隸屬於俄羅斯外國情報局(SVR)。
攻擊行動細節
攻擊行動始於五月下旬,APT29 駭客使用之前被入侵的 Microsoft 365 帳戶建立了新的技術支援主題的網域。利用這些網域,駭客傳送了 Microsoft Teams 的訊息,旨在操縱使用者批準多重身分取證提示,最終目的是獲得對使用者帳戶的存取許可權並洩露敏感訊息。「如果被攻擊目標接受了訊息請求,使用者就會收到一個 Microsoft Teams 的訊息,駭客會試圖說服他們在手機裝置上的 Microsoft Authenticator 應用程式中輸入一個程式碼」微軟表示。如果受害者按照這些指示操作,駭客就能完全掌控該使用者帳戶。
攻擊目標及解決方案
微軟的調查表明,這次社交工程攻擊行動針對了不到 40 個獨特的全球組織,包括政府機構、非政府組織、IT 服務、技術、離散製造和媒體行業等。雖然其中組織的名稱沒有被公開,但微軟表示這些攻擊「顯示了俄羅斯駭客具體的間諜目標」。微軟表示已阻止該駭客團體使用相關網域,並「繼續調查此攻擊行動」,包括此前攻擊合法 Azure 租戶以及在社交工程攻擊中使用類似字型字母的同形網域。值得一提的是,此次與俄羅斯有關的社交工程攻擊行動爆發前幾周,中國駭客利用了 Microsoft 的雲郵件服務漏洞侵入了美國政府員工的郵件帳戶。
評論與建議
持續威脅下的組織安全挑戰
這次攻擊行動再次凸顯了全球組織在面對進攻性國家駭客行動時的脆弱性。俄羅斯和中國等國的駭客團體長期以侵入他國政府機構和企業的帳戶為目標,目的在於盜取機密訊息、竊取技術和進行間諜活動。由於這些國家駭客團體的高度專業性和組織背景,對他們的防禦極為困難。
加固安全意識教育和技術認知
企業和組織應該加固對員工的安全意識教育,特別是針對社交工程攻擊的認識和防範。駭客們通常利用詭計和欺騙手段誘導使用者進行操作,因此告訴員工們不要隨便點選或回覆可疑的郵件、訊息或連結非常重要。此外組織也應該投資於先進的安全技術和系統,以提供更強大的防禦和監控能力,並及時應對可能的攻擊行動。
全球合作共同打擊駭客行動
面對日益嚴峻的駭客威脅,單一組織或國家的努力是不夠的。國際合作和訊息共享是應對這些問題的關鍵。各國政府、企業和組織應該加固合作,共同打擊和阻止這些侵犯數位安全和個人隱私的行動。只有透過共同努力,才能揭示駭客的陰謀並防止未來的攻擊。
延伸閱讀
- 美國與英國警方識破、控告俄羅斯 LockBit 勒索軟體幫派領袖
- Change Healthcare 駭客使用被盜憑證入侵 - 聯合健康集團 CEO 表示沒有多重因素認證
- 前美國國家安全域性駭客與前蘋果研究員合力成立新創公司,保護蘋果裝置
- 聯合健康稱駭客竊取健康資料:影響美國大部分人口
- 《Apex Legends 駭客稱遊戲開發者修補了直播主使用的漏洞》
- 烏克蘭網路警察如何對抗俄羅斯駭客
- 《Apex Legends 駭客自稱「只是為了好玩」竊取錦標賽遊戲》
- 印度授予政府機構查證政府事項的權力
- 寶可夢因駭客嘗試後重設一些使用者密碼
- 美國國家安全域性表示正在追蹤 Ivanti 網路攻擊,駭客瞄準美國國防領域
