Разкрити кибератаки на „Midnight Blizzard“: битката на Microsoft срещу спонсорираните от държавата кибер заплахи
Microsoft наскоро разкри опасно нарушение, извършено от спонсорирана от руската държава хакерска група, известна като Midnight Blizzard. Нападателите са използвали сложни тактики, включително създаване на злонамерени OAuth приложения, манипулиране на потребителски акаунти и използване на домашни прокси мрежи, за да прикрият своите дейности. Това нарушение подчертава значението на стабилните мерки за сигурност за организациите.
Съдържание
Асоциациите на Midnight Blizzard и Cosy Bear излизат наяве
В края на ноември 2023 г. Microsoft стана жертва на кибератака, организирана от Midnight Blizzard, известна още като Cozy Bear. Хакерите са използвали атаки със спрей за пароли, за да компрометират имейл акаунти, насочени към висши ръководители и служители в киберсигурността и юридическите екипи. Допълнителен анализ разкри, че нападателите са използвали наследено тестово OAuth приложение с привилегирован достъп до корпоративната ИТ среда на Microsoft. OAuth, стандарт за удостоверяване, базирано на токени, беше манипулиран от хакерите, които създадоха допълнителни злонамерени OAuth приложения.
Тактиката на Midnight Blizzard се разшири до създаване на нов потребителски акаунт, предоставяйки на техните злонамерени OAuth приложения достъп до пощенските кутии на Office 365 Exchange. Този достъп им позволи да изтеглят имейли и файлове, за да преценят осведомеността на Microsoft за техните дейности. За да прикрият своя произход, нападателите са използвали жилищни прокси мрежи, насочвайки трафика през множество IP адреси, използвани от легитимни потребители.
Как да се противопоставим на пробиви на данни и кибератаки
За да се противопоставят на подобни заплахи, Microsoft препоръчва на организациите да извършват одити на привилегиите на потребителите и услугите, като се фокусират особено върху неидентифицирани самоличности и приложения с високи привилегии. Те съветват да се изследват внимателно самоличностите с привилегии за ApplicationImpersonation в Exchange Online, тъй като неправилните конфигурации могат да позволят неоторизиран достъп до корпоративни пощенски кутии. Препоръчват се също политики за откриване на аномалии и контроли на приложението за условен достъп за потребители на неуправлявани устройства.
Въздействието на дейностите на Midnight Blizzard се простира отвъд Microsoft, както се вижда от разкритието на Hewlett Packard Enterprise (HPE) за подобна атака срещу неговата облачно базирана имейл система през май 2023 г. Този инцидент, свързан с предишен опит за хакване, доведе до кражба на данни от Пощенски кутии на HPE и достъп до файлове на SharePoint.
В отговор на тези нарушения организациите трябва да останат бдителни, прилагайки стабилни мерки за сигурност, за да намалят рисковете, породени от спонсорирани от държавата хакерски групи като Midnight Blizzard.
Разкрити кибератаки на „Midnight Blizzard“: битката на Microsoft срещу спонсорираните от държавата кибер заплахи екранни снимки
