Раскрыты кибератаки «Midnight Blizzard»: борьба Microsoft с киберугрозами, спонсируемыми государством
Microsoft недавно раскрыла тревожное нарушение, совершенное спонсируемой российским государством хакерской группой, известной как Midnight Blizzard. Злоумышленники использовали сложную тактику, включая создание вредоносных приложений OAuth, манипулирование учетными записями пользователей и использование резидентных прокси-сетей для сокрытия своей деятельности. Это нарушение подчеркивает важность надежных мер безопасности для организаций.
Оглавление
Выяснились связи Midnight Blizzard и Cozy Bear
В конце ноября 2023 года Microsoft стала жертвой кибератаки, организованной Midnight Blizzard, также известной как Cozy Bear. Хакеры использовали атаки с распылением паролей для компрометации учетных записей электронной почты, нацеленные на руководителей высшего звена и сотрудников отделов кибербезопасности и юридических отделов. Дальнейший анализ показал, что злоумышленники использовали устаревшее тестовое приложение OAuth с привилегированным доступом к корпоративной ИТ-среде Microsoft. OAuth, стандарт аутентификации на основе токенов, подвергся манипуляциям со стороны хакеров, которые создали дополнительные вредоносные приложения OAuth.
Тактика Midnight Blizzard распространялась на создание новой учетной записи пользователя, предоставляющей вредоносным приложениям OAuth доступ к почтовым ящикам Office 365 Exchange. Этот доступ позволил им загружать электронные письма и файлы, чтобы оценить осведомленность Microsoft об их деятельности. Чтобы скрыть свое происхождение, злоумышленники использовали резидентные прокси-сети, маршрутизируя трафик через многочисленные IP-адреса, используемые законными пользователями.
Как противостоять утечкам данных и кибератакам
Чтобы противостоять таким угрозам, Microsoft рекомендует организациям проводить аудит привилегий пользователей и служб, уделяя особое внимание неопознанным личностям и приложениям с высоким уровнем привилегий. Они советуют тщательно проверять удостоверения с привилегиями ApplicationImpersonation в Exchange Online, поскольку неправильные настройки могут привести к несанкционированному доступу к корпоративным почтовым ящикам. Также рекомендуется использовать политики обнаружения аномалий и элементы управления приложениями условного доступа для пользователей на неуправляемых устройствах.
Влияние деятельности Midnight Blizzard выходит за рамки Microsoft, о чем свидетельствует раскрытие Hewlett Packard Enterprise (HPE) аналогичной атаки на ее облачную систему электронной почты в мае 2023 года. Этот инцидент, связанный с предыдущей попыткой взлома, привел к краже данных из Почтовые ящики HPE и доступ к файлам SharePoint.
В ответ на эти нарушения организации должны сохранять бдительность, внедряя надежные меры безопасности для снижения рисков, исходящих от спонсируемых государством хакерских групп, таких как Midnight Blizzard.
Раскрыты кибератаки «Midnight Blizzard»: борьба Microsoft с киберугрозами, спонсируемыми государством Скриншотов
