Microsoft, Çinli bilgisayar korsanlarının devlet kurumları da dahil olmak üzere iki düzine kuruluşun Exchange Online ve Azure AD hesaplarını ihlal etmek için kullanılan etkin olmayan bir Microsoft hesabı (MSA) tüketici imzalama anahtarını nasıl çaldığını hâlâ bilmediğini söylüyor.
Microsoft, bugün yayınlanan yeni bir danışma belgesinde “Aktörün anahtarı elde etme yöntemi devam eden bir soruşturma meselesidir” dedi.
Olay, birkaç devlet kurumunun Exchange Online e-posta hizmetlerine yetkisiz erişimin keşfedilmesinin ardından ABD hükümet yetkilileri tarafından bildirildi.
Microsoft, saldırıları 16 Haziran’da araştırmaya başladı ve Storm-0558 olarak izlediği Çinli bir siber casusluk grubunun (ABD Dışişleri ve Ticaret Departmanları dahil olduğu bildirildiğine göre) yaklaşık 25 kuruluşun e-posta hesaplarını ihlal ettiğini tespit etti.
Tehdit aktörleri, bir GetAccessTokenForResource API kusurundan yararlanarak yeni kimlik doğrulama belirteçleri oluşturmak için çalınan Azure AD kurumsal imzalama anahtarını kullandı ve onlara hedeflerin kurumsal postasına erişim sağladı.
Storm-0558, e-postaları ve ekleri çalmak için OWA Exchange Store hizmetine karşı REST API çağrıları yoluyla yeni erişim belirteçleri oluşturmak için PowerShell ve Python betiklerini kullanabilir. Ancak Redmond, geçen ayki Exchange Online veri hırsızlığı saldırılarında bu yaklaşımı kullanıp kullanmadıklarını doğrulamadı.
Microsoft bugün “Telemetri ve araştırmalarımız, uzlaşma sonrası etkinliğin hedeflenen kullanıcılar için e-posta erişimi ve hırsızlığı ile sınırlı olduğunu gösteriyor” diye ekledi.
Şirket, etkilenen tüm müşteriler için çalınan özel imzalama anahtarının kullanımını 3 Temmuz’da engelledi ve saldırganların belirteç yeniden oynatma altyapısının bir gün sonra kapatıldığını söyledi.
Azure AD belirteci dövmesini engellemek için MSA imzalama anahtarları iptal edildi
27 Haziran’da Microsoft, yeni erişim belirteçleri oluşturmaya yönelik tüm girişimleri engellemek için tüm geçerli MSA imzalama anahtarlarını da iptal etti ve yeni oluşturulanları kurumsal sistemleri için kullandığı anahtar deposuna taşıdı.
Microsoft, “Microsoft, aktör tarafından edinilen MSA imzalama anahtarını geçersiz kıldığı için anahtarla ilgili hiçbir aktör etkinliği gözlemlenmedi” dedi.
Bununla birlikte, Redmond, tüm aktif MSA imzalama anahtarlarını iptal ettikten ve API kusurunu etkinleştirdikten sonra artık anahtarla ilgili herhangi bir Storm-0558 kötü amaçlı etkinlik tespit etmemiş olsa da, bugünün danışma belgesi, saldırganların artık başka tekniklere geçtiğini söylüyor.
“Microsoft, aktör tarafından edinilen MSA imzalama anahtarını geçersiz kıldığı için anahtarla ilgili herhangi bir aktör etkinliği gözlemlenmedi. Ayrıca, Storm-0558’in diğer tekniklere geçişini gördük; bu, aktörün herhangi bir imzalama anahtarı kullanamayacağını veya bunlara erişemediğini gösteriyor. Microsoft dedi.
Salı günü Microsoft, RomCom Rus siber suç grubunun, Litvanya’nın Vilnius kentinde düzenlenen NATO Zirvesi’ne katılan kuruluşlara yönelik son kimlik avı saldırılarında henüz yama uygulanmayan bir Office sıfır gününden yararlandığını da açıkladı.
RomCom operatörleri, MagicSpell yükleyici ve RomCom arka kapısı gibi kötü amaçlı yazılım yüklerini göndermek ve dağıtmak için Ukrayna Dünya Kongresi’ni taklit eden kötü amaçlı belgeler kullandı.