'Midnight Blizzard' 사이버 공격 발견: 국가 지원 사이버 위협에 맞서는 Microsoft의 전투

Microsoft는 최근 Midnight Blizzard로 알려진 러시아 정부 후원 해킹 그룹이 저지른 침해 관련 사건을 공개했습니다. 공격자들은 악의적인 OAuth 애플리케이션 생성, 사용자 계정 조작, 주거용 프록시 네트워크를 사용하여 활동을 은폐하는 등 정교한 전술을 사용했습니다. 이번 위반은 조직을 위한 강력한 보안 조치의 중요성을 강조합니다.

Midnight Blizzard와 Cozy Bear의 연관성이 밝혀졌습니다.

2023년 11월 말, Microsoft는 Cozy Bear라고도 알려진 Midnight Blizzard가 주도한 사이버 공격의 희생양이 되었습니다. 해커들은 비밀번호 스프레이 공격을 이용해 이메일 계정을 손상시키고 사이버 보안 및 법무팀의 고위 임원과 직원을 표적으로 삼았습니다. 추가 분석에 따르면 공격자는 Microsoft의 기업 IT 환경에 대한 권한 있는 액세스를 통해 레거시 테스트 OAuth 애플리케이션을 악용한 것으로 나타났습니다. 토큰 기반 인증의 표준인 OAuth는 악의적인 OAuth 애플리케이션을 추가로 만든 해커에 의해 조작되었습니다.

Midnight Blizzard의 전술은 새로운 사용자 계정을 생성하여 악성 OAuth 앱에 Office 365 Exchange 사서함에 대한 액세스 권한을 부여하는 것까지 확장되었습니다. 이 액세스를 통해 그들은 이메일과 파일을 다운로드하여 그들의 활동에 대한 Microsoft의 인식을 측정할 수 있었습니다. 공격자는 출처를 숨기기 위해 주거용 프록시 네트워크를 활용하여 합법적인 사용자가 사용하는 수많은 IP 주소를 통해 트래픽을 라우팅했습니다.

데이터 침해 및 사이버 공격에 대응하는 방법

이러한 위협에 대응하기 위해 Microsoft는 조직이 특히 식별되지 않은 ID 및 높은 권한 응용 프로그램에 중점을 두고 사용자 및 서비스 권한에 대한 감사를 수행할 것을 권장합니다. 잘못된 구성으로 인해 기업 사서함에 대한 무단 액세스가 발생할 수 있으므로 Exchange Online에서 ApplicationImpersonation 권한이 있는 ID를 면밀히 조사할 것을 권장합니다. 관리되지 않는 장치의 사용자를 위한 변칙 검색 정책 및 조건부 액세스 앱 제어도 권장됩니다.

2023년 5월 HPE(Hewlett Packard Enterprise)가 자사의 클라우드 기반 이메일 시스템에 대한 유사한 공격을 공개한 것에서 알 수 있듯이 Midnight Blizzard 활동의 영향은 Microsoft를 넘어 확장됩니다. HPE 사서함 및 SharePoint 파일에 대한 액세스.

이러한 위반에 대응하여 조직은 Midnight Blizzard와 같은 국가 후원 해킹 그룹이 제기하는 위험을 완화하기 위해 강력한 보안 조치를 구현하여 경계심을 유지해야 합니다.

'Midnight Blizzard' 사이버 공격 발견: 국가 지원 사이버 위협에 맞서는 Microsoft의 전투 스크린샷