Een aan de Russische overheid gelinkte hackersgroep heeft het gemunt op tientallen wereldwijde organisaties met een campagne om inloggegevens te stelen door gebruikers in Microsoft Teams chats te betrekken en zich voor te doen als technische ondersteuning, aldus onderzoekers van Microsoft op woensdag.

Deze "zeer gerichte" social engineering-aanvallen hebben sinds eind mei "minder dan 40 unieke wereldwijde organisaties" getroffen, aldus onderzoekers van Microsoft in een blog, waaraan ze toevoegden dat het bedrijf een onderzoek instelde.

De Russische ambassade in Washington reageerde niet onmiddellijk op een verzoek om commentaar.

De hackers zetten domeinen en accounts op die eruitzagen als technische ondersteuning en probeerden Teams-gebruikers te betrekken in chats en hen multifactor authenticatie (MFA) prompts te laten goedkeuren, aldus de onderzoekers.

"Microsoft heeft de actor verhinderd de domeinen te gebruiken en blijft deze activiteit onderzoeken en werken aan het herstellen van de gevolgen van de aanval," voegden ze eraan toe.

Teams is het eigen zakelijke communicatieplatform van Microsoft, met meer dan 280 miljoen actieve gebruikers, volgens de financiële verklaring van het bedrijf in januari.

MFA's zijn een algemeen aanbevolen beveiligingsmaatregel om hacken of stelen van inloggegevens te voorkomen. De Teams-aanval suggereert dat hackers nieuwe manieren vinden om deze te omzeilen.

De hackersgroep achter deze activiteit, die in de branche bekend staat als Midnight Blizzard of APT29, is gevestigd in Rusland en is door de Britse en Amerikaanse overheid in verband gebracht met de buitenlandse inlichtingendienst van het land, aldus de onderzoekers.

"De organisaties waarop deze activiteit gericht is, wijzen waarschijnlijk op specifieke spionagedoelen van Midnight Blizzard gericht op de overheid, niet-gouvernementele organisaties (NGO's), IT-diensten, technologie, discrete productie en mediasectoren," zeiden ze, zonder de doelwitten bij naam te noemen.

"Deze nieuwste aanval, in combinatie met activiteiten uit het verleden, toont verder aan dat Midnight Blizzard doorgaat met het uitvoeren van hun doelen door gebruik te maken van zowel nieuwe als veelgebruikte technieken," schreven de onderzoekers.

Het is bekend dat Midnight Blizzard zich al sinds 2018 op dergelijke organisaties richt, voornamelijk in de VS en Europa, voegden ze eraan toe.

De hackers gebruikten reeds gecompromitteerde Microsoft 365-accounts die eigendom waren van kleine bedrijven om nieuwe domeinen aan te maken die leken op technische ondersteuningsentiteiten en het woord "microsoft" erin hadden staan, volgens details in de Microsoft-blog. Accounts die aan deze domeinen gekoppeld waren, stuurden vervolgens phishingberichten naar lokaasmensen via Teams, aldus de onderzoekers. (Verslaggeving door Zeba Siddiqui in San Francisco; Bewerking door Gerry Doyle)