Các cuộc tấn công mạng 'Midnight Blizzard' được phát hiện: Cuộc chiến của Microsoft chống lại các mối đe dọa mạng do nhà nước tài trợ

Đến năm Mura năm Computer Security

Dịch sang:

Microsoft gần đây đã tiết lộ một vi phạm đáng lo ngại do một nhóm hack được nhà nước Nga bảo trợ có tên là Midnight Blizzard gây ra. Những kẻ tấn công đã sử dụng các chiến thuật phức tạp, bao gồm tạo các ứng dụng OAuth độc hại, thao túng tài khoản người dùng và sử dụng mạng proxy dân dụng để che giấu hoạt động của chúng. Vi phạm này nhấn mạnh tầm quan trọng của các biện pháp bảo mật mạnh mẽ cho các tổ chức.

Mục lục

Hiệp hội Midnight Blizzard và Cosy Bear được đưa ra ánh sáng

Vào cuối tháng 11 năm 2023, Microsoft trở thành nạn nhân của một cuộc tấn công mạng do Midnight Blizzard, còn được gọi là Cosy Bear, dàn dựng. Tin tặc đã sử dụng các cuộc tấn công rải mật khẩu để xâm nhập tài khoản email, nhắm mục tiêu vào các giám đốc điều hành cấp cao và nhân viên trong nhóm pháp lý và an ninh mạng. Phân tích sâu hơn cho thấy những kẻ tấn công đã khai thác một ứng dụng OAuth thử nghiệm cũ với quyền truy cập đặc quyền vào môi trường CNTT công ty của Microsoft. OAuth, một tiêu chuẩn xác thực dựa trên mã thông báo, đã bị tin tặc thao túng để tạo thêm các ứng dụng OAuth độc hại.

Chiến thuật của Midnight Blizzard mở rộng sang việc tạo một tài khoản người dùng mới, cấp cho các ứng dụng OAuth độc hại của họ quyền truy cập vào hộp thư Office 365 Exchange. Quyền truy cập này cho phép họ tải xuống email và tệp để đánh giá nhận thức của Microsoft về hoạt động của họ. Để che giấu nguồn gốc của mình, những kẻ tấn công đã sử dụng mạng proxy dân cư, định tuyến lưu lượng truy cập qua nhiều địa chỉ IP được người dùng hợp pháp sử dụng.

Cách chống lại vi phạm dữ liệu và tấn công mạng

Để chống lại những mối đe dọa như vậy, Microsoft khuyến nghị các tổ chức tiến hành kiểm tra các đặc quyền của người dùng và dịch vụ, đặc biệt tập trung vào danh tính không xác định và các ứng dụng có đặc quyền cao. Họ khuyên bạn nên xem xét kỹ lưỡng danh tính bằng các đặc quyền ApplicationImpersonation trong Exchange Online vì cấu hình sai có thể cho phép truy cập trái phép vào hộp thư doanh nghiệp. Chính sách phát hiện bất thường và kiểm soát ứng dụng truy cập có điều kiện cho người dùng trên các thiết bị không được quản lý cũng được đề xuất.

Tác động từ các hoạt động của Midnight Blizzard vượt ra ngoài Microsoft, bằng chứng là Hewlett Packard Enterprise (HPE) đã tiết lộ về một cuộc tấn công tương tự vào hệ thống email dựa trên đám mây của họ vào tháng 5 năm 2023. Sự cố này, có liên quan đến một nỗ lực tấn công trước đó, đã dẫn đến hành vi trộm cắp dữ liệu từ Hộp thư HPE và quyền truy cập vào các tệp SharePoint.

Để đối phó với những vi phạm này, các tổ chức phải luôn cảnh giác, thực hiện các biện pháp bảo mật mạnh mẽ để giảm thiểu rủi ro do các nhóm hack được nhà nước bảo trợ như Midnight Blizzard gây ra.