Um grupo de cibercriminosos russos conhecido como APT29 tem lançado ataques de phishing contra organizações usando mensagens falsas de segurança no Microsoft Teams, na tentativa de quebrar o a autenticação de dois fatores (2FA) que utiliza correspondência de números.

Segundo o relatório da Microsoft: “Nossa investigação atual indica que essa campanha afetou menos de 40 organizações globais únicas. As organizações visadas nesta atividade provavelmente indicam objetivos específicos de espionagem pelo Midnight Blizzard direcionados a governos, organizações não governamentais (ONGs), serviços de TI, tecnologia, fabricação discreta e setores de mídia.”

Apesar disso, a Microsoft recomenda as seguintes ações para mitigação do problema:

• Implementar métodos de autenticação resistentes a phishing para usuários.
• Implementar autenticação forte de acesso condicional para exigir autenticação resistente a phishing para funcionários e usuários externos para aplicativos críticos.
• Configurar organizações confiáveis do Microsoft 365 para limitar quais domínios externos são permitidos ou bloqueados para conversar e se encontrar no Teams com seus funcionários.
• Habilitar auditoria do Microsoft 365 para poder realizar investigações forenses em caso de comprometimento.
• Escolher as melhores configurações de acesso para colaboração externa para sua organização.
• Permitir apenas dispositivos conhecidos em seus ambientes híbridos do Azure AD.
• Educar os usuários sobre engenharia social e ataques de phishing de credenciais, incluindo se abster de inserir códigos MFA enviados por mensagens não solicitadas.
• Educar os usuários do Microsoft Teams a verificar a marcação “Externo” nas tentativas de comunicação de entidades externas.
• Educar os usuários a revisar a atividade de login e marcar tentativas de login suspeitas como “Não fui eu”.
• Implementar Controle de Aplicativo de Acesso Condicional no Microsoft Defender para Cloud Apps para usuários que se conectam de dispositivos não gerenciados.

Abaixo mais detalhes sobre a descoberta e o mecanismo de funcionamento do ataque.

Grupo criminoso russo APT29 burlam política de autenticação de dois fatores da Microsoft com mensagens falsas do Teams

O Midnight Blizzard é o nome designado pela Microsoft para o grupo APT29, uma ameaça que opera há muitos anos e é considerada pelos governos dos EUA e do Reino Unido como o braço de hackers do serviço de inteligência da Rússia, o SVR. A APT29, também conhecida na indústria de segurança como Cozy Bear ou NOBELIUM, esteve por trás do ataque à SolarWinds em 2020 que afetou milhares de organizações em todo o mundo, mas também foi responsável por ataques contra muitas instituições governamentais, missões diplomáticas e empresas da base industrial militar de todo o mundo ao longo dos anos.

Última campanha usou tenants sequestrados do Microsoft 365

A APT29 obtém os acessos usando uma grande variedade de métodos, incluindo Zero-day exploits, explorando relacionamentos de confiança entre diferentes entidades dentro de ambientes em nuvem, implantando e-mails de phishing e páginas da web para serviços populares, ataques de password spray e força bruta, além de anexos e-mail ou downloads maliciosos.

Os mais recentes ataques de spear-phishing detectados pela Microsoft começaram em maio e provavelmente faziam parte de uma campanha maior de comprometimento de credenciais, resultando inicialmente no sequestro de tenants do Microsoft 365 que pertenciam a pequenas empresas. Estes tenantes recebem um subdomínio no domínio geralmente confiável (onmicrosoft.com), então os atacantes os renomearam para criar subdomínios com nomes relacionados à segurança e ao produto, para dar credibilidade ao próximo passo em seu ataque de engenharia social.

O segundo passo envolveu o direcionamento de contas em outras organizações para as quais já tinham obtido credenciais ou que tinham uma política de autenticação sem senha ativada. Ambos os tipos de conta têm autenticação multifator habilitada por meio do que a Microsoft chama de notificações push de correspondência de números.

Correspondência de números versus códigos gerados por dispositivos

O método de autenticação 2FA de notificação push faz com que os usuários recebam uma notificação em seus dispositivos móveis por meio de um aplicativo para autorizar uma tentativa de login. É uma implementação comum em muitos sites, mas os atacantes começaram a explorá-la com o que é conhecido como “fadiga de 2FA ou MFA” – uma tática de ataque que envolve o envio contínuo de solicitações de autorização de push para um usuário cujas credenciais foram roubadas até que eles pensem que o sistema está com mau funcionamento e aceitem, ou pior, o envio de chamadas telefônicas de 2FA no meio da noite para usuários que têm essa opção ativada.

Outra maneira comum de implementar 2FA é fazer com que o site exija um código gerado por um aplicativo de autenticação no telefone do usuário. No entanto, os atacantes encontraram maneiras de contornar esse método, também, implementando páginas de phishing que atuam como proxies reversos entre o usuário e o site ou serviço de destino.

Em resposta a esses tipos de ataques, a Microsoft implementou outro método 2FA que envolve sites da Microsoft enviando uma notificação push para o aplicativo Microsoft Authenticator no dispositivo móvel do usuário, que solicita que o usuário insira um número dentro do aplicativo. Este número é exibido pelo site durante o processo de autenticação. Este método é chamado de correspondência de números e foi definido como o método padrão para todas as notificações push do Microsoft Authenticator a partir de 8 de maio.

Agora, se um atacante tentar se autenticar com as credenciais roubadas de um usuário, será solicitado ao usuário inserir um número em seu aplicativo Microsoft Authenticator para concluir o processo autenticação, mas o usuário não sabe o número exibido pelo site porque não é ele quem iniciou a autenticação em seu navegador. Então, a APT29 partiu deste ponto para comprometer este mecanismo.

A maneira como eles conseguiram isso foi entrando em contato com os usuários direcionados pelo Microsoft Teams, de contas criadas sob os subdomínios onmicrosoft.com que configuraram nos tenants do Microsoft 365 sequestrados. Por exemplo, as vítimas viram solicitações de bate-papo no Teams, como “Microsoft Identity Protection (External) quer conversar com você” vindo de MicrosoftIdentityProtection@teamsprotection.onmicrosoft.com.

Se a solicitação de contato fosse aceita, isso era seguido por uma mensagem dizendo à vítima que foram detectadas alterações nas configurações de autenticação multifator em suas contas, e que precisavam abrir seu aplicativo Microsoft Authenticator para digitar um determinado número e ajudar a verificar sua identidade. Claro, o número era o que os atacantes receberam do site da Microsoft e era necessário para contornar a autenticação de dois fatores e acessar a conta.

“O ator prossegue então na atividade pós-comprometimento, que tipicamente envolve roubo de informações do tenant Microsoft 365 comprometido”, disseram pesquisadores da Microsoft. “Em alguns casos, o ator tenta adicionar um dispositivo à organização como um dispositivo gerenciado via Microsoft Entra ID (anteriormente Azure Active Directory), provavelmente uma tentativa de contornar as políticas de acesso condicional configuradas para restringir o acesso a recursos específicos apenas a dispositivos gerenciados.”