Microsoft, Kasım 2023’te yöneticilerinin e-posta hesaplarını hackleyen Rus Dış İstihbarat Servisi hack grubunun, bu kötü niyetli kampanya kapsamında diğer kuruluşların da ihlallerini yaptığını doğruladı.
Midnight Blizzard’ın (diğer adıyla Nobelium veya APT29), Rusya Dış İstihbarat Servisi’ne (SVR) bağlı, öncelikle ABD ve Avrupa’daki hükümet kuruluşlarını, STK’ları, yazılım geliştiricilerini ve BT hizmet sağlayıcılarını hedef alan, devlet destekli bir siber casusluk grubu olduğuna inanılıyor.
12 Ocak 2024’te Microsoft, Rus bilgisayar korsanlarının Kasım 2023’te sistemlerini ihlal ettiğini ve liderlik, siber güvenlik ve hukuk ekiplerinden e-postaları çaldığını keşfetti. Bu e-postalardan bazıları, bilgisayar korsanlığı grubunun kendisiyle ilgili bilgiler içeriyordu ve bu da tehdit aktörlerinin Microsoft’un kendileri hakkında bildiklerini öğrenmesine olanak tanıyordu.
Microsoft şimdi, tehdit aktörlerinin az sayıda hesabı hedeflemek için konut proxy’leri ve “şifre püskürtme” kaba kuvvet saldırıları kullandığını ve bu hesaplardan birinin “eski, üretim dışı test kiracı hesabı” olduğunu açıklıyor.
Microsoft’tan gelen bir güncelleme şöyle açıklıyor: “Gözlemlenen bu Midnight Blizzard etkinliğinde, aktör, tespitten kaçınmak ve hataların hacmine bağlı olarak hesap blokajlarından kaçınmak için az sayıda girişim kullanarak, parola püskürtme saldırılarını sınırlı sayıda hesaba uyarladı.”
Microsoft ihlali ilk kez açıkladığında birçok kişi bu test hesabında MFA’nın etkinleştirilip etkinleştirilmediğini ve eski bir test hesabının kuruluştaki diğer hesaplara yanal olarak yayılmak için nasıl yeterli ayrıcalıklara sahip olacağını merak ediyordu.
Microsoft artık MFA’nın bu hesap için etkinleştirilmediğini doğruladı ve tehdit aktörlerinin doğru şifreyi kaba kuvvetle girdikten sonra Microsoft’un sistemlerine erişmesine izin verdi.
Microsoft ayrıca bu test hesabının, Microsoft’un kurumsal ortamına yükseltilmiş erişime sahip bir OAuth uygulamasına erişimi olduğunu da açıklıyor. Bu yükseltilmiş erişim, aşağıda açıklandığı gibi, tehdit aktörlerinin diğer kurumsal posta kutularına erişim sağlamak için ek OAuth uygulamaları oluşturmasına olanak tanıdı.
Midnight Blizzard, Microsoft kurumsal ortamına yüksek erişime sahip olan eski bir test OAuth uygulamasını tespit etmek ve bu uygulamanın güvenliğini aşmak için ilk erişimden yararlandı. Aktör, ek kötü amaçlı OAuth uygulamaları oluşturdu.
Microsoft kurumsal ortamında, aktör tarafından kontrol edilen kötü amaçlı OAuth uygulamalarına izin vermek için yeni bir kullanıcı hesabı oluşturdular. Tehdit aktörü daha sonra eski test OAuth uygulamasını kullanarak kendilerine Office 365 Exchange Online’ı verdi. full_access_as_app posta kutularına erişime izin veren rol. -Microsoft.
Şirket, kötü niyetli etkinliği, Rus devlet destekli bilgisayar korsanlığı gruplarının kullandığı bilinen taktik ve prosedürlerle birlikte Exchange Web Hizmetleri (EWS) günlüklerindeki izleri alarak tespit etti.
Bu bulgulara dayanarak Microsoft, Midnight Blizzard’ın diğer kuruluşları hedef alan benzer saldırılarını tespit edebildi.
Microsoft, yeni açıklamasında “Microsoft’un Midnight Blizzard’a yönelik soruşturmasından elde edilen bilgileri kullanarak, Microsoft Tehdit İstihbaratı aynı aktörün başka kuruluşları da hedef aldığını belirledi ve olağan bildirim süreçlerimizin bir parçası olarak bu hedeflenen kuruluşları bilgilendirmeye başladık” dedi. güncelleme.
Bu haftanın başlarında Hewlett Packard Enterprise (HPE), Midnight Blizzard’ın Mayıs 2023’ten bu yana Microsoft Office 365 e-posta ortamına yetkisiz erişim sağladığını ve verileri sızdırdığını açıkladı.
BleepingComputer, HPE’ye ihlali kimin açıkladığını sorduğunda bize bu bilgiyi paylaşmadıklarını söylediler. Ancak örtüşme şüpheleri artırıyor ve HPE’nin Microsoft’un etkilendiğini doğruladığı şirketlerden biri olma olasılığını artırıyor.
Eylül 2023’te, Çinli Storm-0558 bilgisayar korsanlığı grubunun, o yılın başlarında Microsoft’un bulut tabanlı Exchange e-posta sunucularını ihlal ettikten sonra ABD Dışişleri Bakanlığı hesaplarından 60.000 e-postayı çaldığı da ortaya çıktı.
Midnight Blizzard’a karşı savunma
Microsoft, savunucuların APT29 tarafından yapılan saldırıları tespit etmelerine ve kötü niyetli faaliyetlerini engellemelerine yardımcı olmak için son gönderisinde kapsamlı tespit ve avlama yöntemleri sağladı.
Teknoloji devi kimlik, XDR ve SIEM uyarılarına odaklanmayı öneriyor. Aşağıdaki senaryolar Midnight Blizzard etkinliği için özellikle şüphelidir:
- E-posta erişimine sahip bulut uygulamalarında artan etkinlik, potansiyel veri alımını işaret ediyor.
- API çağrılarında Microsoft dışı OAuth uygulamalarında kimlik bilgisi sonrası güncelleme çağrılarındaki ani artış, yetkisiz erişime işaret ediyor.
- Microsoft dışındaki OAuth uygulamalarında artan Exchange Web Hizmetleri API kullanımı, potansiyel olarak veri sızıntısına işaret ediyor.
- Muhtemelen veri ihlallerine karışmış, bilinen riskli meta verilere sahip, Microsoft’a ait olmayan OAuth uygulamaları.
- Yüksek riskli oturumlardaki kullanıcılar tarafından oluşturulan OAuth uygulamaları, hesapların kötüye kullanıldığına işaret ediyor.
Son olarak Microsoft, şüpheli etkinlikleri tanımlamak ve araştırmak için Microsoft Defender XDR ve Microsoft Sentinel’de hedeflenen arama sorgularının (sağlanan) kullanılmasını önerir.