O-UNC-066-hyökkääjäryhmä käyttää äänipohjaista kalastelua ja väärennettyjä Microsoft Entra -avaimia Microsoft 365 -tunnusten ja tietojen varastamiseen.
Tuoreessa hyökkäyskampanjassa hyökkääjät kohdistavat äänipohjaisia tietojenkalastelupyyntöjä useiden eri toimialojen organisaatioihin. Hyökkääjät tekeytyvät IT-tukihenkilöiksi ja ohjaavat Microsoft 365 -käyttäjiä rekisteröimään uuden Microsoft Entra -avaimen. Tämän prosessin tarkoituksena on soluttautua yritysten järjestelmiin ja suorittaa kiristyshaittaohjelmahyökkäyksiä. Väärennetty rekisteröintiprosessi antaa hyökkääjille pysyvän pääsyn organisaation pilviympäristöön.
Hyökkääjäryhmä, jota seurataan Okta-palvelussa tunnisteella O-UNC-066, hyödyntää kehittynyttä paneeliohjattua kalastelupakettia. Tämä työkalu on suunniteltu nimenomaan Entra-avaimen rekisteröintiprosessin manipulointiin ja valvomiseen reaaliajassa. Tekniikka mahdollistaa monivaiheisen tunnistautumisen ohittamisen, kun käyttäjä uskoo suorittavansa virallista tietoturvapäivitystä. Hyökkäys on osoittautunut tehokkaaksi, sillä se hyödyntää sosiaalista manipulointia teknisen haavoittuvuuden sijaan.
IT-ylläpitäjien tulee valistaa loppukäyttäjiä siitä, että IT-tuki ei koskaan pyydä käyttäjää rekisteröimään uusia varmennusavaimia äänipuhelun aikana. Organisaatioiden tulisi tarkistaa Microsoft Entra -hallintapaneelista epäilyttävät kirjautumistapahtumat ja tarkastella aktiivisia MFA-menetelmiä (monivaiheinen tunnistautuminen). On suositeltavaa rajoittaa mahdollisuutta lisätä uusia tunnistautumismenetelmiä ilman asianmukaista hallinnollista hyväksyntää tai tiukkaa valvontaa.
Heinäkuussa 2026 havaitut hyökkäykset korostavat modernin identiteetinhallinnan haasteita ja sosiaalisen manipuloinnin kasvavaa roolia yritystietoturvassa. Vaikka Entra-avaimet tarjoavat vahvan suojan, niiden käyttöönottoa on valvottava tarkasti, jottei käyttäjäkokemusta hyödynnetä hyökkäysvektorina. MSP-toimijoiden on varmistettava, että asiakasympäristöissä on käytössä poikkeavuuksia havaitseva valvonta ja selkeät viestintäkäytännöt IT-tukihenkilöiden toiminnasta.
Tärkeimmät pointit
- Hyökkääjäryhmä: O-UNC-066 (seurattu Okta-palvelussa)
- Hyökkäystapa: Äänipohjainen sosiaalinen manipulointi ja väärennetty Entra-avaimen rekisteröinti
- Tavoite: Pääsy Microsoft 365 -ympäristöön ja datan kiristäminen
- Työkalu: Paneeliohjattu kalastelupaketti (phishing kit)
- Suositus: Käyttäjäkoulutus ja MFA-menetelmien rekisteröintiprosessin tiukempi valvonta
Lähde: The Hacker News — alkuperäinen artikkeli julkaistu 10.7.2026

