Microsoft hala araştırıyor Çin bağlantılı bir bilgisayar korsanlığı grubu nasıl ABD Dışişleri Bakanlığı’ndan e-postaları çalmak için etkin olmayan bir Microsoft hesabı tüketici imzalama anahtarı ve sahte jetonlar almayı başardı. Tehdit aktörü, yaklaşık iki düzine başka kuruluşun verilerine de erişti.
Microsoft, o zamandan beri anahtar verme sistemlerini sağlamlaştırdı, önceki tüm anahtarları iptal etti ve güncellenmiş sistemleri kullanarak yeni anahtarlar yayınladı. Şirket, yükseltmelerin bilgisayar korsanlarının muhtemelen MSA anahtarlarını elde etmek için kullandıkları mekanizmayı bozacağını ve o zamandan beri bilgisayar korsanının farklı teknikler kullanmaya çalıştığını gördüğünü söyledi.
Microsoft, saldırıyı Storm-0558’e bağladı ve yetkililerin dünya çapında 25 kuruluşa yönelik hedefli bir siber saldırıyı özetlemesinden birkaç gün sonra, Cuma günü ek analiz yayınladı. Kampanya, Dışişleri Bakanlığı e-postalarının çalınmasına yol açtı ve bildirildiğine göre Ticaret Bakanı Gina Raimondo’dan e-postalar çaldı.
bu FBI ve Siber Güvenlik ve Altyapı Güvenliği Ajansı Microsoft soruşturmasından elde edilen bulguları içeren, Cuma günü tehdit etkinliği hakkında güncellenmiş kılavuz yayınladı. Ajanslar, kuruluşları denetim günlüğünü etkinleştirmeye ve bulut ortamlarını sağlamlaştırmaya çağırıyor.
Gartner’da Analist Başkan Yardımcısı Peter Firstbrook, saldırıların, saldırganların kimlik bilgileriyle erişim elde etmek için kimlik sistemini nasıl hedef aldığının bir örneği olduğunu söyledi.
Çin merkezli tehdit aktörü Storm-0558, son yıllarda Avrupa veya ABD diplomatik, ekonomik veya yasama organlarını hedef alıyor. Microsoft’a göre grup ayrıca medya şirketlerini, düşünce kuruluşlarını ve telekom ekipmanı ve hizmet sağlayıcılarını da hedef aldı.
Microsoft, saldırıların çoğunun kimlik bilgileri toplama, kimlik avı ve OAuth belirteç saldırıları kullanarak çalışanların e-postalarını çalmayı içerdiğini söyledi. Geçmiş kampanyalar, güvenliği ihlal edilmiş sunuculara yerleştirilen China Chopper da dahil olmak üzere web mermilerine yol açtı.
Saldırganlar daha önce bir Cigril olarak bilinen kötü amaçlı yazılım ailesi.
Microsoft, müşterilerini gelecekteki saldırılardan korumaya yardımcı olmak için Haziran sonundan itibaren birkaç adım attı:
- 26 Haziran’dan itibaren Outlook Web Access, GetAccessTokensForReseource tarafından yenileme için verilen belirteçleri kabul etmeyi durdurdu.
- 27 Haziran’da Microsoft, OWA’da satın alınan MSA anahtarıyla imzalanan belirteçlerin kötü niyetli aktörler tarafından ek kurumsal posta etkinliğini önleyen kullanımını engelledi.
- 29 Haziran’da Microsoft, bilgisayar korsanlarının jetonları taklit etmek için kullanmasını durdurmak için anahtarın değiştirilmesini tamamladı.
- 3 Temmuz’da Microsoft, etkilenen tüm tüketici müşterileri için anahtarın kullanımını engelledi.