Otkriveni kibernetički napadi 'Midnight Blizzard': Microsoftova bitka protiv kibernetičkih prijetnji koje sponzorira država
Microsoft je nedavno otkrio zabrinjavajuću povredu koju je počinila hakerska skupina koju sponzorira ruska država poznata kao Midnight Blizzard. Napadači su koristili sofisticirane taktike, uključujući stvaranje zlonamjernih OAuth aplikacija, manipulaciju korisničkim računima i korištenje rezidencijalnih proxy mreža za prikrivanje svojih aktivnosti. Ovo kršenje naglašava važnost snažnih sigurnosnih mjera za organizacije.
Sadržaj
Izašle su na vidjelo povezanosti Midnight Blizzard i Cosy Bear
Krajem studenog 2023. Microsoft je postao žrtva cyber napada koji je orkestrirao Midnight Blizzard, također poznat kao Cosy Bear. Hakeri su koristili napade raspršivanjem lozinki kako bi kompromitirali račune e-pošte, ciljajući na više rukovoditelje i zaposlenike u kibernetičkoj sigurnosti i pravnim timovima. Daljnja analiza otkrila je da su napadači iskoristili naslijeđenu testnu OAuth aplikaciju s privilegiranim pristupom Microsoftovom korporativnom IT okruženju. OAuth, standard za autentifikaciju na temelju tokena, manipulirali su hakeri koji su stvorili dodatne zlonamjerne OAuth aplikacije.
Taktika Midnight Blizzarda proširila se na stvaranje novog korisničkog računa, dopuštajući njihovim zlonamjernim OAuth aplikacijama pristup poštanskim sandučićima sustava Office 365 Exchange. Taj im je pristup omogućio preuzimanje e-pošte i datoteka kako bi procijenili svijest Microsofta o njihovim aktivnostima. Kako bi prikrili svoje podrijetlo, napadači su koristili rezidencijalne proxy mreže, usmjeravajući promet kroz brojne IP adrese koje koriste legitimni korisnici.
Kako se suprotstaviti povredama podataka i kibernetičkim napadima
Kako bi se suprotstavili takvim prijetnjama, Microsoft preporučuje organizacijama da provode revizije korisničkih i servisnih privilegija, posebno usredotočujući se na neidentificirane identitete i aplikacije s visokim privilegijama. Savjetuju provjeru identiteta s privilegijama ApplicationImpersonation u Exchange Online, jer pogrešne konfiguracije mogu omogućiti neovlašteni pristup poštanskim sandučićima poduzeća. Također se preporučuju pravila otkrivanja anomalija i kontrole aplikacije uvjetnog pristupa za korisnike na neupravljanim uređajima.
Utjecaj aktivnosti Midnight Blizzarda proteže se izvan Microsofta, što dokazuje Hewlett Packard Enterprise (HPE) otkrivanje sličnog napada na njegov sustav e-pošte temeljen na oblaku u svibnju 2023. Ovaj incident, povezan s prethodnim pokušajem hakiranja, rezultirao je krađom podataka s HPE poštanski sandučići i pristup SharePoint datotekama.
Kao odgovor na ova kršenja, organizacije moraju ostati na oprezu, implementirajući snažne sigurnosne mjere za ublažavanje rizika koje predstavljaju hakerske skupine koje sponzorira država poput Midnight Blizzarda.
Otkriveni kibernetički napadi 'Midnight Blizzard': Microsoftova bitka protiv kibernetičkih prijetnji koje sponzorira država Snimaka Zaslona
