揭露“午夜暴雪”网络攻击：微软对抗国家支持的网络威胁

微软最近披露了俄罗斯国家支持的黑客组织 Midnight Blizzard 犯下的一起令人担忧的违规行为。攻击者采用了复杂的策略，包括创建恶意 OAuth 应用程序、操纵用户帐户以及使用住宅代理网络来隐藏其活动。此次违规事件凸显了强大的安全措施对组织的重要性。

午夜暴雪和舒适熊协会曝光

2023 年 11 月下旬，微软成为 Midnight Blizzard（也称为 Cozy Bear）策划的网络攻击的受害者。黑客利用密码喷射攻击来破坏电子邮件帐户，目标是网络安全和法律团队的高级管理人员和员工。进一步分析表明，攻击者利用了遗留测试 OAuth 应用程序，该应用程序具有对 Microsoft 企业 IT 环境的特权访问权限。 OAuth 是一种基于令牌的身份验证标准，被创建其他恶意 OAuth 应用程序的黑客操纵。

Midnight Blizzard 的策略扩展到创建新用户帐户，授予其恶意 OAuth 应用程序访问 Office 365 Exchange 邮箱的权限。通过这种访问权限，他们可以下载电子邮件和文件，以了解微软对其活动的了解程度。为了掩盖其来源，攻击者利用住宅代理网络，通过合法用户使用的众多 IP 地址路由流量。

如何应对数据泄露和网络攻击

为了应对此类威胁，微软建议组织对用户和服务权限进行审核，特别关注身份不明和高权限应用程序。他们建议在 Exchange Online 中仔细检查具有 ApplicationImpersonation 权限的身份，因为错误配置可能会导致对企业邮箱的未经授权的访问。还建议对非托管设备上的用户实施异常检测策略和条件访问应用程序控制。

午夜暴雪活动的影响超出了微软的范围，惠普企业 (HPE) 于 2023 年 5 月披露了对其基于云的电子邮件系统的类似攻击就证明了这一点。该事件与之前的一次黑客攻击尝试有关，导致数据被盗HPE 邮箱和对 SharePoint 文件的访问。

为了应对这些违规行为，组织必须保持警惕，实施强有力的安全措施，以减轻国家支持的黑客组织（例如 Midnight Blizzard）带来的风险。

揭露“午夜暴雪”网络攻击：微软对抗国家支持的网络威胁 截图