การโจมตีทางไซเบอร์ 'Midnight Blizzard' ถูกเปิดเผย: การต่อสู้กับภัยคุกคามทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐของ Microsoft

เมื่อเร็ว ๆ นี้ Microsoft ได้เปิดเผยการละเมิดที่เกี่ยวข้องกับกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐรัสเซียที่รู้จักกันในชื่อ Midnight Blizzard ผู้โจมตีใช้กลยุทธ์ที่ซับซ้อน รวมถึงการสร้างแอปพลิเคชัน OAuth ที่เป็นอันตราย การจัดการบัญชีผู้ใช้ และการใช้เครือข่ายพร็อกซีที่อยู่อาศัยเพื่อปกปิดกิจกรรมของพวกเขา การละเมิดนี้เน้นย้ำถึงความสำคัญของมาตรการรักษาความปลอดภัยที่แข็งแกร่งสำหรับองค์กร

สมาคม Midnight Blizzard และ Cozy Bear ได้ถูกเปิดเผย

ในช่วงปลายเดือนพฤศจิกายน 2023 Microsoft ตกเป็นเหยื่อของการโจมตีทางไซเบอร์ที่ควบคุมโดย Midnight Blizzard หรือที่รู้จักกันในชื่อ Cozy Bear แฮกเกอร์ใช้การโจมตีแบบสเปรย์รหัสผ่านเพื่อบุกรุกบัญชีอีเมล โดยกำหนดเป้าหมายไปที่ผู้บริหารระดับสูงและพนักงานในทีมรักษาความปลอดภัยทางไซเบอร์และทีมกฎหมาย การวิเคราะห์เพิ่มเติมพบว่าผู้โจมตีใช้ประโยชน์จากแอปพลิเคชัน OAuth ทดสอบแบบเดิมพร้อมสิทธิพิเศษในการเข้าถึงสภาพแวดล้อมไอทีขององค์กรของ Microsoft OAuth ซึ่งเป็นมาตรฐานสำหรับการตรวจสอบสิทธิ์แบบโทเค็น ได้รับการจัดการโดยแฮกเกอร์ที่สร้างแอปพลิเคชัน OAuth ที่เป็นอันตรายเพิ่มเติม

กลยุทธ์ของ Midnight Blizzard ขยายไปสู่การสร้างบัญชีผู้ใช้ใหม่ โดยอนุญาตให้แอป OAuth ที่เป็นอันตรายเข้าถึงกล่องจดหมาย Office 365 Exchange ได้ การเข้าถึงนี้ทำให้พวกเขาสามารถดาวน์โหลดอีเมลและไฟล์เพื่อวัดการรับรู้ของ Microsoft เกี่ยวกับกิจกรรมของพวกเขา เพื่อปกปิดที่มาของผู้โจมตีใช้เครือข่ายพร็อกซีที่อยู่อาศัย กำหนดเส้นทางการรับส่งข้อมูลผ่านที่อยู่ IP จำนวนมากที่ผู้ใช้ที่ถูกกฎหมายใช้

วิธีตอบโต้การละเมิดข้อมูลและการโจมตีทางไซเบอร์

เพื่อตอบโต้ภัยคุกคามดังกล่าว Microsoft แนะนำให้องค์กรดำเนินการตรวจสอบสิทธิ์ของผู้ใช้และบริการ โดยเฉพาะอย่างยิ่งการมุ่งเน้นไปที่ข้อมูลประจำตัวที่ไม่ปรากฏหลักฐานและแอปพลิเคชันที่มีสิทธิ์สูง พวกเขาแนะนำให้ตรวจสอบข้อมูลประจำตัวอย่างละเอียดด้วยสิทธิ์ ApplicationImpersonation ใน Exchange Online เนื่องจากการกำหนดค่าที่ไม่ถูกต้องอาจทำให้มีการเข้าถึงกล่องจดหมายขององค์กรโดยไม่ได้รับอนุญาต แนะนำให้ใช้นโยบายการตรวจจับความผิดปกติและการควบคุมแอปการเข้าถึงแบบมีเงื่อนไขสำหรับผู้ใช้ในอุปกรณ์ที่ไม่มีการจัดการด้วย

ผลกระทบของกิจกรรมของ Midnight Blizzard ขยายไปไกลกว่า Microsoft ดังที่เห็นได้จากการเปิดเผยของ Hewlett Packard Enterprise (HPE) เกี่ยวกับการโจมตีที่คล้ายกันบนระบบอีเมลบนคลาวด์ในเดือนพฤษภาคม 2023 เหตุการณ์นี้เชื่อมโยงกับความพยายามในการแฮ็กครั้งก่อน ส่งผลให้เกิดการขโมยข้อมูลจาก กล่องจดหมาย HPE และการเข้าถึงไฟล์ SharePoint

เพื่อตอบสนองต่อการละเมิดเหล่านี้ องค์กรต่างๆ จะต้องระมัดระวังในการใช้มาตรการรักษาความปลอดภัยที่แข็งแกร่งเพื่อลดความเสี่ยงที่เกิดจากกลุ่มแฮ็กที่ได้รับการสนับสนุนจากรัฐ เช่น Midnight Blizzard

การโจมตีทางไซเบอร์ 'Midnight Blizzard' ถูกเปิดเผย: การต่อสู้กับภัยคุกคามทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐของ Microsoft ภาพหน้าจอ