Cyberattacker avslöjade "Midnight Blizzard": Microsofts kamp mot statligt sponsrade cyberhot
Microsoft avslöjade nyligen en oroande intrång begången av en rysk statssponsrad hackergrupp känd som Midnight Blizzard. Angriparna använde sofistikerad taktik, inklusive skapandet av skadliga OAuth-applikationer, manipulering av användarkonton och användningen av proxynätverk i bostäder för att dölja sina aktiviteter. Detta brott understryker vikten av robusta säkerhetsåtgärder för organisationer.
Innehållsförteckning
Midnight Blizzard och Cozy Bear associationer kommer fram
I slutet av november 2023 föll Microsoft offer för en cyberattack orkestrerad av Midnight Blizzard, även känd som Cozy Bear. Hackarna använde lösenordssprayattacker för att äventyra e-postkonton, riktade mot ledande befattningshavare och anställda inom cybersäkerhet och juridiska team. Ytterligare analys avslöjade att angriparna utnyttjade en äldre OAuth-applikation med privilegierad tillgång till Microsofts IT-miljö. OAuth, en standard för tokenbaserad autentisering, manipulerades av hackare som skapade ytterligare skadliga OAuth-applikationer.
Midnight Blizzards taktik utökades till att skapa ett nytt användarkonto, vilket ger deras skadliga OAuth-appar åtkomst till Office 365 Exchange-postlådor. Denna åtkomst gjorde det möjligt för dem att ladda ner e-postmeddelanden och filer för att mäta Microsofts medvetenhet om deras aktiviteter. För att maskera sitt ursprung använde angriparna proxynätverk i bostäder och dirigerade trafik genom många IP-adresser som används av legitima användare.
Hur man motverkar dataintrång och cyberattacker
För att motverka sådana hot rekommenderar Microsoft organisationer att utföra granskningar av användar- och tjänsteprivilegier, särskilt med fokus på oidentifierade identiteter och högprivilegierade applikationer. De rekommenderar att man granskar identiteter med ApplicationImpersonation-privilegier i Exchange Online, eftersom felkonfigurationer kan möjliggöra obehörig åtkomst till företagspostlådor. Policyer för upptäckt av avvikelser och appkontroller för villkorad åtkomst för användare på ohanterade enheter rekommenderas också.
Effekten av Midnight Blizzards aktiviteter sträcker sig bortom Microsoft, vilket framgår av Hewlett Packard Enterprises (HPE) avslöjande av en liknande attack mot dess molnbaserade e-postsystem i maj 2023. Denna incident, kopplad till ett tidigare hackningsförsök, resulterade i datastöld från HPE-postlådor och tillgång till SharePoint-filer.
Som svar på dessa intrång måste organisationer förbli vaksamma och implementera robusta säkerhetsåtgärder för att minska riskerna från statligt sponsrade hackningsgrupper som Midnight Blizzard.
Cyberattacker avslöjade “Midnight Blizzard”: Microsofts kamp mot statligt sponsrade cyberhot skärmdumpar
