Η Microsoft εξακολουθεί να μην είναι βέβαιη πώς οι χάκερ έκλεψαν το κλειδί υπογραφής Azure AD
Η
Microsoft
λέει ότι εξακολουθεί να μην γνωρίζει πώς Κινέζοι χάκερ έκλεψαν ένα κλειδί υπογραφής καταναλωτή ανενεργού λογαριασμού Microsoft (MSA) που χρησιμοποιήθηκε για την παραβίαση των λογαριασμών Exchange
Online
και
Azure
AD 20 οργανισμών, συμπεριλαμβανομένων κρατικών υπηρεσιών.
“Η μέθοδος με την οποία ο ηθοποιός απέκτησε το κλειδί είναι θέμα συνεχούς έρευνας”, δήλωσε η Microsoft
παράδεκτος
σε μια νέα συμβουλευτική που δημοσιεύεται σήμερα.
Το περιστατικό αναφέρθηκε από αξιωματούχους της κυβέρνησης των ΗΠΑ μετά την ανακάλυψη μη εξουσιοδοτημένης πρόσβασης σε υπηρεσίες ηλεκτρονικού ταχυδρομείου Exchange Online πολλών κυβερνητικών υπηρεσιών.
Η Microsoft άρχισε να ερευνά τις επιθέσεις στις 16 Ιουνίου και διαπίστωσε ότι μια κινεζική ομάδα κυβερνοκατασκοπείας που παρακολουθεί ως
Θύελλα-0558
παραβίασε τους λογαριασμούς email περίπου 25 οργανισμών (συμπεριλαμβανομένου σύμφωνα με πληροφορίες
τα Υπουργεία Εξωτερικών και Εμπορίου των ΗΠΑ
).
Οι φορείς απειλών χρησιμοποίησαν το κλεμμένο κλειδί υπογραφής επιχείρησης Azure AD για να δημιουργήσουν νέα διακριτικά ταυτότητας, εκμεταλλευόμενοι ένα ελάττωμα του GetAccessTokenForResource API, παρέχοντάς τους πρόσβαση στην εταιρική αλληλογραφία των στόχων.
Το Storm-0558 μπορεί να χρησιμοποιήσει σενάρια PowerShell και Python για να δημιουργήσει νέα διακριτικά πρόσβασης μέσω κλήσεων REST API έναντι της υπηρεσίας OWA Exchange Store για την κλοπή email και συνημμένων. Ωστόσο, ο Redmond δεν επιβεβαίωσε εάν χρησιμοποίησε αυτήν την προσέγγιση στις επιθέσεις κλοπής δεδομένων του Exchange Online του περασμένου μήνα.
«Η τηλεμετρία και οι έρευνές μας δείχνουν ότι η δραστηριότητα μετά τον συμβιβασμό περιοριζόταν στην πρόσβαση στο email και στη διείσδυση στοχευμένων χρηστών», πρόσθεσε σήμερα η Microsoft.
Η εταιρεία απέκλεισε τη χρήση του κλεμμένου ιδιωτικού κλειδιού υπογραφής για όλους τους πελάτες που επηρεάστηκαν στις 3 Ιουλίου και λέει ότι η υποδομή επανάληψης διακριτικών των εισβολέων έκλεισε μια μέρα αργότερα.
Τα κλειδιά υπογραφής MSA ανακλήθηκαν για να αποκλειστεί η σφυρηλάτηση διακριτικών Azure AD
Στις 27 Ιουνίου, η Microsoft ανακάλεσε επίσης όλα τα έγκυρα κλειδιά υπογραφής MSA για να αποκλείσει όλες τις προσπάθειες δημιουργίας νέων διακριτικών πρόσβασης και μετέφερε τα πρόσφατα δημιουργημένα στον χώρο αποθήκευσης κλειδιών που χρησιμοποιεί για τα εταιρικά της συστήματα.
“Δεν έχει παρατηρηθεί δραστηριότητα σχετιζόμενη με το κλειδί ηθοποιών από τότε που η Microsoft ακύρωνε το κλειδί υπογραφής MSA που απέκτησε ο ηθοποιός”, δήλωσε η Microsoft.
Ωστόσο, ενώ το Redmond δεν εντόπισε πλέον καμία κακόβουλη δραστηριότητα του Storm-0558 που σχετίζεται με το κλειδί μετά την ανάκληση όλων των ενεργών κλειδιών υπογραφής MSA και τον μετριασμό της ενεργοποίησης του ελαττώματος του API, η σημερινή συμβουλή λέει ότι οι εισβολείς έχουν πλέον στραφεί σε άλλες τεχνικές.
“Δεν έχει παρατηρηθεί δραστηριότητα σχετιζόμενη με το κλειδί από τότε που η Microsoft ακύρωνε το κλειδί υπογραφής MSA που αποκτήθηκε από τον ηθοποιό. Επιπλέον, είδαμε το Storm-0558 να μεταβαίνει σε άλλες τεχνικές, κάτι που δείχνει ότι ο ηθοποιός δεν μπορεί να χρησιμοποιήσει ή να αποκτήσει πρόσβαση σε κανένα κλειδί υπογραφής, ” είπε η Microsoft.
Την Τρίτη, η Microsoft αποκάλυψε επίσης ότι η RomCom ρωσική ομάδα εγκλήματος στον κυβερνοχώρο εκμεταλλεύτηκε ένα Office zero-day που δεν έχει ακόμη επιδιορθωθεί στις πρόσφατες επιθέσεις
phishing
εναντίον οργανισμών που συμμετείχαν στη Σύνοδο Κορυφής του ΝΑΤΟ στο Βίλνιους της Λιθουανίας.
Οι χειριστές της RomCom χρησιμοποίησαν κακόβουλα έγγραφα που υποδύονταν το Ουκρανικό Παγκόσμιο Συνέδριο για να προωθήσουν και να αναπτύξουν ωφέλιμα φορτία κακόβουλου λογισμικού, όπως ο φορτωτής MagicSpell και η κερκόπορτα RomCom.
