A Microsoft revelou na quarta-feira que identificou um conjunto de ataques de engenharia social altamente direcionados realizados por um ator de ameaça russo também conhecido como APT29, usando iscas de phishing para roubo de credenciais enviadas como chats do Microsoft Teams.

“Nesta última atividade, o ator de ameaça usa inquilinos do Microsoft 365 previamente comprometidos, pertencentes a pequenas empresas, para criar novos domínios que aparecem como entidades de suporte técnico”, disse a empresa.

Usando esses domínios de inquilinos comprometidos, o grupo utiliza mensagens do Teams para enviar iscas que tentam roubar credenciais de uma organização-alvo, envolvendo um usuário e solicitando a aprovação de prompts de autenticação multifator (MFA).

A Microsoft disse que a campanha, observada desde pelo menos o final de maio de 2023, afetou pelo menos 40 organizações globalmente, abrangendo governo, organizações não governamentais (ONGs), serviços de TI, tecnologia, manufatura e setores de mídia.

O ator de ameaça tem sido observado utilizando técnicas de roubo de token para acesso inicial aos ambientes-alvo, juntamente com outros métodos, como spear-phishing de autenticação, pulverização de senha e ataques de força bruta.