Natuklasan ang 'Midnight Blizzard' Cyberattacks: Ang Labanan ng Microsoft Laban sa Mga Banta sa Cyber Sponsored ng Estado

Kamakailan ay isiniwalat ng Microsoft ang tungkol sa paglabag na ginawa ng isang Russian state-sponsored hacking group na kilala bilang Midnight Blizzard. Gumamit ang mga umaatake ng mga sopistikadong taktika, kabilang ang paggawa ng mga nakakahamak na OAuth application, pagmamanipula ng mga user account, at paggamit ng mga residential proxy network upang itago ang kanilang mga aktibidad. Binibigyang-diin ng paglabag na ito ang kahalagahan ng matatag na mga hakbang sa seguridad para sa mga organisasyon.

Lumilitaw ang mga asosasyon ng Midnight Blizzard at Cozy Bear

Noong huling bahagi ng Nobyembre 2023, naging biktima ang Microsoft ng isang cyber-attack na inayos ng Midnight Blizzard, na kilala rin bilang Cozy Bear. Ginamit ng mga hacker ang mga pag-atake ng pag-spray ng password upang ikompromiso ang mga email account, na nagta-target sa mga senior executive at empleyado sa cybersecurity at legal na mga koponan. Ang karagdagang pagsusuri ay nagsiwalat na ang mga umaatake ay nagsamantala ng isang legacy na pagsubok na OAuth na application na may pribilehiyong pag-access sa corporate IT environment ng Microsoft. Ang OAuth, isang pamantayan para sa pagpapatunay na nakabatay sa token, ay minanipula ng mga hacker na lumikha ng mga karagdagang nakakahamak na OAuth na application.

Ang mga taktika ng Midnight Blizzard ay pinalawak sa paggawa ng bagong user account, na nagbibigay ng access sa kanilang mga nakakahamak na OAuth app sa mga mailbox ng Office 365 Exchange. Ang access na ito ay nagbigay-daan sa kanila na mag-download ng mga email at file upang masukat ang kamalayan ng Microsoft sa kanilang mga aktibidad. Upang itago ang kanilang pinagmulan, ginamit ng mga umaatake ang mga residential proxy network, na niruruta ang trapiko sa maraming IP address na ginagamit ng mga lehitimong user.

Paano labanan ang mga paglabag sa data at cyberattacks

Upang kontrahin ang mga naturang pagbabanta, inirerekomenda ng Microsoft ang mga organisasyon na magsagawa ng mga pag-audit sa mga pribilehiyo ng user at serbisyo, partikular na tumutuon sa mga hindi natukoy na pagkakakilanlan at mga application na may mataas na pribilehiyo. Pinapayuhan nila ang pagsusuri sa mga pagkakakilanlan na may mga pribilehiyo ng ApplicationImpersonation sa Exchange Online, dahil ang mga maling pagsasaayos ay maaaring paganahin ang hindi awtorisadong pag-access sa mga mailbox ng enterprise. Inirerekomenda din ang mga patakaran sa pagtuklas ng anomalya at may kondisyong pag-access sa mga kontrol ng app para sa mga user sa mga hindi pinamamahalaang device.

Ang epekto ng mga aktibidad ng Midnight Blizzard ay higit pa sa Microsoft, na pinatunayan ng pagsisiwalat ng Hewlett Packard Enterprise (HPE) ng isang katulad na pag-atake sa cloud-based na email system nito noong Mayo 2023. Ang insidenteng ito, na nauugnay sa isang naunang pagtatangka sa pag-hack, ay nagresulta sa pagnanakaw ng data mula sa Mga mailbox ng HPE at access sa mga SharePoint file.

Bilang tugon sa mga paglabag na ito, ang mga organisasyon ay dapat manatiling mapagbantay, na nagpapatupad ng matatag na mga hakbang sa seguridad upang mabawasan ang mga panganib na dulot ng mga grupo ng pag-hack na itinataguyod ng estado tulad ng Midnight Blizzard.

Natuklasan ang 'Midnight Blizzard' Cyberattacks: Ang Labanan ng Microsoft Laban sa Mga Banta sa Cyber Sponsored ng Estado Mga screenshot