Ülkenin Dış İstihbarat Servisi'ne (SVR) bağlı bir grup Rus hacker olan Midnight Blizzard (diğer adıyla APT29), şirketin kaynak kodu depolarına ve dahili sistemlerine sızmak için Microsoft kurumsal e-posta sistemlerinden çalınan bilgileri kullandı.
“Midnight Blizzard'ın bulduğu farklı türden sırları kullanmaya çalıştığı açık. Bu sırlardan bazıları müşteriler ve Microsoft arasında e-posta yoluyla paylaşıldı ve bunları sızdırılmış e-postamızda keşfettiğimizde, hafifletici önlemler almalarına yardımcı olmak için bu müşterilere ulaştık ve ulaşmaya devam ediyoruz.”, şirketin Güvenlik Yanıt Merkezi (MSRC) Cuma günü paylaşıldı.
Devam eden bir saldırı
Geçen Ocak ayında Microsoft, Midnight Blizzard'ın eski bir üretim dışı test kiracı hesabına şifre püskürttüğünü ve bu hesabı, üst düzey liderlerin ve siber güvenlik ve hukuk departmanlarındaki çalışanların kurumsal e-posta hesaplarına erişmek için kullandığını açıkladı.
“Midnight Blizzard'ın devam eden saldırısı, tehdit aktörünün kaynaklarına, koordinasyonuna ve odağına sürekli ve önemli bir bağlılıkla karakterize ediliyor. MSRC, elde ettiği bilgileri saldıracak alanların resmini toplamak ve bunu yapma yeteneğini geliştirmek için kullanıyor olabilir” diyor.
Şirket hâlâ Microsoft'un barındırdığı müşteriye yönelik sistemlerin tehdit aktörü tarafından ele geçirilmediğini savunuyor.
Bu olayla ilgili orijinal SEC dosyasının güncellemesinde Microsoft, olayın Şirketin operasyonları üzerinde önemli bir etkisi olmadığını ancak bunun “Şirketin mali durumunu veya operasyon sonuçlarını etkileyip etkilemeyeceğini” söylemek için henüz çok erken olduğunu söylüyor.
Meşru hesaplar aracılığıyla ilk erişim
Five Eyes istihbarat ittifakı tarafından kısa süre önce yayınlanan ortak güvenlik tavsiyesi, Midnight Blizzard'ın ilk erişim için değişen taktikleri konusunda uyarıyor:
- Mağdur kuruluşların eski çalışanlarına ait hizmet hesapları ve hesaplarına kaba zorlama ve şifre püskürtme
- Kimlik doğrulama belirteçlerinin çalınması
- MFA bombalaması
IBM'in X-Force ekibi ayrıca siber suçluların kurban ortamlarına erişim aracı olarak geçerli hesapları giderek daha fazla kötüye kullandıklarını belirtti. Gerekli kimlik bilgilerini kimlik avı, Kerberoasting yoluyla veya bilgi hırsızlarından yararlanarak elde ediyorlar.
Microsoft, Midnight Blizzard'ın devam ettiğini ve parola spreyi darbesini “Ocak 2024'te gördüğümüz büyük hacme kıyasla Şubat ayında 10 kata kadar” artırdığını söylüyor.