Serangan Siber 'Midnight Blizzard' Terbongkar: Pertempuran Microsoft Menentang Ancaman Siber Tajaan Negara
Microsoft baru-baru ini mendedahkan pelanggaran berkaitan yang dilakukan oleh kumpulan penggodaman tajaan negara Rusia yang dikenali sebagai Midnight Blizzard. Penyerang menggunakan taktik yang canggih, termasuk penciptaan aplikasi OAuth yang berniat jahat, manipulasi akaun pengguna dan penggunaan rangkaian proksi kediaman untuk menyembunyikan aktiviti mereka. Pelanggaran ini menekankan kepentingan langkah keselamatan yang teguh untuk organisasi.
Isi kandungan
Persatuan Midnight Blizzard dan Cozy Bear terbongkar
Pada akhir November 2023, Microsoft menjadi mangsa serangan siber yang didalangi oleh Midnight Blizzard, juga dikenali sebagai Cozy Bear. Penggodam menggunakan serangan semburan kata laluan untuk menjejaskan akaun e-mel, menyasarkan eksekutif kanan dan pekerja dalam pasukan keselamatan siber dan undang-undang. Analisis lanjut mendedahkan bahawa penyerang mengeksploitasi aplikasi OAuth ujian legasi dengan akses istimewa kepada persekitaran IT korporat Microsoft. OAuth, standard untuk pengesahan berasaskan token, telah dimanipulasi oleh penggodam yang mencipta aplikasi OAuth berniat jahat tambahan.
Taktik Midnight Blizzard diperluaskan kepada mencipta akaun pengguna baharu, memberikan apl OAuth berniat jahat mereka akses kepada peti mel Office 365 Exchange. Akses ini membolehkan mereka memuat turun e-mel dan fail untuk mengukur kesedaran Microsoft tentang aktiviti mereka. Untuk menyembunyikan asal usul mereka, penyerang menggunakan rangkaian proksi kediaman, menghalakan trafik melalui banyak alamat IP yang digunakan oleh pengguna yang sah.
Bagaimana untuk menentang pelanggaran data dan serangan siber
Untuk mengatasi ancaman sedemikian, Microsoft mengesyorkan organisasi untuk menjalankan audit ke atas keistimewaan pengguna dan perkhidmatan, terutamanya memfokuskan pada identiti tidak dikenal pasti dan aplikasi keistimewaan tinggi. Mereka menasihati meneliti identiti dengan keistimewaan ApplicationImpersonation dalam Exchange Online, kerana salah konfigurasi boleh mendayakan akses tanpa kebenaran kepada peti mel perusahaan. Dasar pengesanan anomali dan kawalan apl akses bersyarat untuk pengguna pada peranti tidak terurus juga disyorkan.
Kesan aktiviti Midnight Blizzard melangkaui Microsoft, seperti yang dibuktikan oleh pendedahan Hewlett Packard Enterprise (HPE) mengenai serangan serupa terhadap sistem e-mel berasaskan awannya pada Mei 2023. Insiden ini, dikaitkan dengan percubaan penggodaman sebelum ini, mengakibatkan kecurian data daripada Peti mel HPE dan akses kepada fail SharePoint.
Sebagai tindak balas kepada pelanggaran ini, organisasi mesti kekal berwaspada, melaksanakan langkah keselamatan yang teguh untuk mengurangkan risiko yang ditimbulkan oleh kumpulan penggodaman tajaan kerajaan seperti Midnight Blizzard.
Serangan Siber 'Midnight Blizzard' Terbongkar: Pertempuran Microsoft Menentang Ancaman Siber Tajaan Negara Tangkapan skrin
