Η Microsoft επιβεβαίωσε ότι η ομάδα χάκερ της Ρωσικής Υπηρεσίας Εξωτερικών Πληροφοριών, η οποία εισέβαλε στους λογαριασμούς email των στελεχών της τον Νοέμβριο του 2023, παραβίασε και άλλους οργανισμούς στο πλαίσιο αυτής της κακόβουλης εκστρατείας.
Η Midnight Blizzard (γνωστή και ως Nobelium ή APT29) πιστεύεται ότι είναι μια κρατική ομάδα κυβερνοκατασκοπείας που συνδέεται με τη Ρωσική Υπηρεσία Εξωτερικών Πληροφοριών (SVR), που στοχεύει κυρίως κυβερνητικούς οργανισμούς, ΜΚΟ, προγραμματιστές λογισμικού και παρόχους υπηρεσιών πληροφορικής στις ΗΠΑ και την
Ευρώπη
.
Στις 12 Ιανουαρίου
2024
, η Microsoft ανακάλυψε ότι οι Ρώσοι χάκερ παραβίασαν τα συστήματά της τον Νοέμβριο του 2023 και έκλεψαν email από την ηγεσία, την ασφάλεια στον κυβερνοχώρο και τις νομικές ομάδες τους. Μερικά από αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου περιείχαν πληροφορίες για την ίδια την ομάδα hacking, επιτρέποντας στους παράγοντες της
απε
ιλής να μάθουν τι ήξερε η Microsoft για αυτούς.
Η Microsoft εξηγεί τώρα ότι οι φορείς απειλών χρησιμοποίησαν οικιακούς πληρεξούσιους και επιθέσεις ωμής βίας με “ψεκασμό κωδικού πρόσβασης” για να στοχεύσουν έναν μικρό αριθμό λογαριασμών, με έναν από αυτούς τους λογαριασμούς να είναι ένας “παλαιούχος λογαριασμός μισθωτή δοκιμής μη
παραγωγή
ς”.
«Σε αυτήν την παρατηρούμενη δραστηριότητα Midnight Blizzard, ο ηθοποιός προσάρμοσε τις επιθέσεις με σπρέι κωδικών πρόσβασης σε περιορισμένο αριθμό λογαριασμών, χρησιμοποιώντας μικρό αριθμό προσπαθειών για να αποφύγει τον εντοπισμό και να αποφύγει τον αποκλεισμό λογαριασμών με βάση τον όγκο των αποτυχιών», εξηγεί μια ενημέρωση από τη Microsoft.
Όταν η Microsoft αποκάλυψε για πρώτη φορά την παραβίαση, πολλοί αναρωτήθηκαν εάν το MFA ήταν ενεργοποιημένο σε αυτόν τον δοκιμαστικό λογαριασμό και πώς ένας δοκιμαστικός λογαριασμός παλαιού τύπου θα είχε αρκετά προνόμια για να εξαπλωθεί πλευρικά σε άλλους λογαριασμούς στον οργανισμό.
Η Microsoft έχει πλέον επιβεβαιώσει ότι το MFA δεν ήταν ενεργοποιημένο για αυτόν τον λογαριασμό, επιτρέποντας στους παράγοντες της απειλής να έχουν πρόσβαση στα συστήματα της Microsoft μόλις εξαναγκάσουν τον σωστό κωδικό πρόσβασης.
Η Microsoft εξηγεί επίσης ότι αυτός ο δοκιμαστικός λογαριασμός είχε πρόσβαση σε μια
εφαρμογή
OAuth με αυξημένη πρόσβαση στο εταιρικό περιβάλλον της Microsoft. Αυτή η αυξημένη πρόσβαση επέτρεψε στους παράγοντες απειλών να δημιουργήσουν πρόσθετες εφαρμογές OAuth για να αποκτήσουν πρόσβαση σε άλλα εταιρικά γραμματοκιβώτια, όπως εξηγείται παρακάτω.
Η Midnight Blizzard χρησιμοποίησε την αρχική τους πρόσβαση για να εντοπίσει και να θέσει σε κίνδυνο μια δοκιμαστική εφαρμογή παλαιού τύπου OAuth που είχε αυξημένη πρόσβαση στο εταιρικό περιβάλλον της Microsoft. Ο ηθοποιός δημιούργησε πρόσθετες κακόβουλες εφαρμογές OAuth.
Δημιούργησαν έναν νέο λογαριασμό χρήστη για τη χορήγηση συναίνεσης στο εταιρικό περιβάλλον της Microsoft στις κακόβουλες εφαρμογές OAuth που ελέγχονται από τους φορείς. Στη συνέχεια, ο παράγοντας απειλών χρησιμοποίησε την εφαρμογή δοκιμής παλαιού τύπου OAuth για να του παραχωρήσει το Office 365 Exchange Online
full_access_as_app
ρόλο, που επιτρέπει την πρόσβαση σε γραμματοκιβώτια. – Microsoft.
Η εταιρεία εντόπισε την κακόβουλη δραστηριότητα ανακτώντας ίχνη στα αρχεία καταγραφής των Υπηρεσιών Ιστού του Exchange (EWS), σε συνδυασμό με γνωστές τακτικές και διαδικασίες που χρησιμοποιούνται από ομάδες hacking που χρηματοδοτούνται από το ρωσικό κράτος.
Με βάση αυτά τα ευρήματα, η Microsoft μπόρεσε να διακρίνει παρόμοιες επιθέσεις που πραγματοποιήθηκαν από τη Midnight Blizzard, οι οποίες στόχευαν άλλους οργανισμούς.
“Χρησιμοποιώντας τις πληροφορίες που αποκτήθηκαν από την έρευνα της Microsoft για το Midnight Blizzard, η Microsoft Threat Intelligence εντόπισε ότι ο ίδιος παράγοντας στόχευε άλλους οργανισμούς και, ως μέρος των συνηθισμένων διαδικασιών ειδοποίησης, έχουμε αρχίσει να ειδοποιούμε αυτούς τους στοχευμένους οργανισμούς”, προειδοποιεί η Microsoft στην
νέα αναβάθμιση
.
Νωρίτερα αυτή την εβδομάδα, η Hewlett Packard Enterprise (HPE) αποκάλυψε ότι η Midnight Blizzard είχε αποκτήσει μη εξουσιοδοτημένη πρόσβαση στο περιβάλλον ηλεκτρονικού ταχυδρομείου του Microsoft Office 365 και είχε διηθήσει δεδομένα από τον Μάιο του 2023.
Όταν η BleepingComputer ρώτησε την HPE ποιος τους αποκάλυψε την παραβίαση, μας είπαν ότι δεν μοιράζονταν αυτές τις πληροφορίες. Ωστόσο, η επικάλυψη εγείρει υποψίες, αυξάνοντας την πιθανότητα η HPE να είναι μία από τις εταιρείες που έχει επιβεβαιώσει η Microsoft ως επηρεασμένη.
Τον Σεπτέμβριο του 2023, αποκαλύφθηκε επίσης ότι η κινεζική ομάδα hacking Storm-0558 έκλεψε 60.000 email από λογαριασμούς του Υπουργείου Εξωτερικών των ΗΠΑ μετά την παραβίαση των διακομιστών ηλεκτρονικού ταχυδρομείου Exchange της Microsoft που βασίζονται στο cloud νωρίτερα εκείνο το έτος.
Άμυνα ενάντια στη Midnight Blizzard
Η Microsoft έχει παράσχει εκτενείς μεθόδους ανίχνευσης και κυνηγιού στην τελευταία της ανάρτηση για να βοηθήσει τους υπερασπιστές να εντοπίσουν επιθέσεις από το APT29 και να αποκλείσουν την κακόβουλη δραστηριότητά τους.
Ο τεχνολογικός γίγαντας συμβουλεύει να εστιάσετε σε ειδοποιήσεις ταυτότητας, XDR και SIEM. Τα ακόλουθα σενάρια είναι ιδιαίτερα ύποπτα για τη δραστηριότητα Midnight Blizzard:
- Αυξημένη δραστηριότητα σε εφαρμογές cloud πρόσβασης email, υποδηλώνοντας πιθανή ανάκτηση δεδομένων.
- Το Spike in API καλεί ενημέρωση μετά τα διαπιστευτήρια σε εφαρμογές OAuth που δεν ανήκουν στη Microsoft, υπονοώντας μη εξουσιοδοτημένη πρόσβαση.
- Αυξημένη χρήση του API των Υπηρεσιών Ιστού του Exchange σε εφαρμογές OAuth που δεν ανήκουν στη Microsoft, υποδηλώνοντας πιθανή εξαγωγή δεδομένων.
- Εφαρμογές OAuth που δεν ανήκουν στη Microsoft με γνωστά επικίνδυνα μεταδεδομένα, που πιθανώς εμπλέκονται σε παραβιάσεις δεδομένων.
- Εφαρμογές OAuth που δημιουργήθηκαν από χρήστες από περιόδους σύνδεσης υψηλού κινδύνου, υποδηλώνοντας παραβιασμένη εκμετάλλευση λογαριασμού.
Τέλος, η Microsoft συμβουλεύει τη χρήση στοχευμένων ερωτημάτων κυνηγιού (παρέχονται) στο Microsoft Defender XDR και στο Microsoft Sentinel για τον εντοπισμό και τη διερεύνηση ύποπτων δραστηριοτήτων.
VIA:
bleepingcomputer.com
