揭露「午夜暴雪」網路攻擊：微軟對抗國家支持的網路威脅

微軟最近披露了俄羅斯國家支持的駭客組織 Midnight Blizzard 犯下的令人擔憂的違規行為。攻擊者採用了複雜的策略，包括創建惡意 OAuth 應用程式、操縱用戶帳戶以及使用住宅代理網路來隱藏其活動。這次違規事件凸顯了強大的安全措施對組織的重要性。

午夜暴雪與舒適熊協會曝光

2023 年 11 月下旬，微軟成為 Midnight Blizzard（也稱為 Cozy Bear）策劃的網路攻擊的受害者。駭客利用密碼噴射攻擊來破壞電子郵件帳戶，目標是網路安全和法律團隊的高階主管和員工。進一步分析表明，攻擊者利用了遺留測試 OAuth 應用程序，該應用程式具有對 Microsoft 企業 IT 環境的特權存取權。 OAuth 是一種基於令牌的身份驗證標準，被創建其他惡意 OAuth 應用程式的駭客操縱。

Midnight Blizzard 的策略擴展到建立新使用者帳戶，授予其惡意 OAuth 應用程式存取 Office 365 Exchange 信箱的權限。透過這種存取權限，他們可以下載電子郵件和文件，以了解微軟對其活動的了解程度。為了掩蓋其來源，攻擊者利用住宅代理網絡，透過合法用戶使用的眾多 IP 位址路由流量。

如何應對資料外洩和網路攻擊

為了應對此類威脅，微軟建議組織對使用者和服務權限進行審核，特別關注身份不明和高權限應用程式。他們建議在 Exchange Online 中仔細檢查具有 ApplicationImpersonation 權限的身份，因為錯誤配置可能會導致對企業郵箱的未經授權的存取。也建議對非託管設備上的用戶實施異常檢測策略和條件存取應用程式控制。

午夜暴雪活動的影響超出了微軟的範圍，惠普企業(HPE) 於2023 年5 月披露了對其基於雲端的電子郵件系統的類似攻擊就證明了這一點。該事件與先前的一次駭客攻擊嘗試有關，導致資料被盜HPE 郵箱和對 SharePoint 文件的存取。

為了應對這些違規行為，組織必須保持警惕，並實施強有力的安全措施，以減輕國家支持的駭客組織（例如 Midnight Blizzard）所帶來的風險。

揭露「午夜暴雪」網路攻擊：微軟對抗國家支持的網路威脅 截图