Розкрито кібератаки Midnight Blizzard: Microsoft бореться з кіберзагрозами, спонсорованими державою
Корпорація Майкрософт нещодавно оприлюднила тривожний злом, здійснений російською державною хакерською групою, відомою як Midnight Blizzard. Зловмисники застосували складну тактику, включаючи створення шкідливих додатків OAuth, маніпуляції з обліковими записами користувачів і використання домашніх проксі-мереж для приховування своєї діяльності. Це порушення підкреслює важливість надійних заходів безпеки для організацій.
Зміст
Виявляються асоціації Midnight Blizzard і Cozy Bear
Наприкінці листопада 2023 року Microsoft стала жертвою кібератаки, організованої Midnight Blizzard, також відомою як Cozy Bear. Хакери використовували атаки з розпиленням пароля, щоб зламати облікові записи електронної пошти, націлюючись на керівників вищої ланки та співробітників кібербезпеки та юридичних команд. Подальший аналіз показав, що зловмисники використали застарілу тестову програму OAuth із привілейованим доступом до корпоративного ІТ-середовища Microsoft. Хакери маніпулювали протоколом OAuth, стандартом автентифікації на основі маркерів, які створили додаткові шкідливі програми OAuth.
Тактика Midnight Blizzard поширювалася на створення нового облікового запису користувача, надаючи їхнім шкідливим програмам OAuth доступ до поштових скриньок Office 365 Exchange. Цей доступ дозволяв їм завантажувати електронні листи та файли, щоб оцінити обізнаність Microsoft про їхню діяльність. Щоб приховати своє походження, зловмисники використовували домашні проксі-мережі, маршрутизуючи трафік через численні IP-адреси, які використовуються законними користувачами.
Як протистояти витоку даних і кібератакам
Щоб протистояти таким загрозам, Microsoft рекомендує організаціям проводити перевірки привілеїв користувачів і послуг, особливо зосереджуючись на неідентифікованих особах і програмах з високим рівнем привілеїв. Вони радять уважно перевіряти ідентифікатори з привілеями ApplicationImpersonation в Exchange Online, оскільки неправильні конфігурації можуть уможливити неавторизований доступ до корпоративних поштових скриньок. Також рекомендуються політики виявлення аномалій і засоби керування додатками умовного доступу для користувачів на некерованих пристроях.
Вплив діяльності Midnight Blizzard виходить за межі Microsoft, про що свідчить розкриття Hewlett Packard Enterprise (HPE) подібної атаки на її хмарну систему електронної пошти в травні 2023 року. Цей інцидент, пов’язаний із попередньою спробою злому, призвів до крадіжки даних з Поштові скриньки HPE і доступ до файлів SharePoint.
У відповідь на ці порушення організації повинні залишатися пильними, впроваджуючи надійні заходи безпеки, щоб зменшити ризики, створені спонсорованими державою хакерськими групами, такими як Midnight Blizzard.
Розкрито кібератаки Midnight Blizzard: Microsoft бореться з кіберзагрозами, спонсорованими державою скріншотів
