12 Ocak 2024’te Microsoft, kurumsal sistemlerine saldıran bir ulus devlet tehdit aktörü olan “Midnight Blizzard”ı tespit etti. Microsoft, keşif üzerine kötü amaçlı etkinliği engellemek ve saldırıyı azaltmak için olay müdahale sürecini devreye aldı.
Özellikle Microsoft, “Midnight Blizzard”ı uzun süredir takip ediyor.
Ancak Microsoft, zayıf bir parolaya sahip eski bir test hesabının parola sprey saldırısına karşı savunmasız olduğunu kanıtlaması nedeniyle sızmanın mümkün olduğunu belirtti.
Tehdit aktörlerinden. Microsoft, saldırıyı Microsoft Exchange Web Hizmetleri etkinliğini inceleyerek ve denetim günlüğü özelliklerini inceleyerek belirledi.
Midnight Blizzard – Kısa Bir Genel Bakış
Cyber Security News ile paylaşılan raporlara göre Midnight Blizzard, Rusya’ya yönelik yabancı çıkarlara sahip çeşitli hükümet ve özel kuruluşların risklerini ele geçirmekten sorumlu, Rus devleti destekli bir tehdit aktörüdür.
Hedeflenen sektörler arasında hükümetler, diplomatik kuruluşlar, sivil toplum kuruluşları (STK’lar) ve ABD ve Avrupa’daki BT hizmet sağlayıcıları yer alıyor. Bu özel tehdit aktörü 2018’den beri aktiftir ve öncelikli odak noktaları yabancı çıkarların casusluğudur.
Midnight Blizzard, casusluk ve istihbarat toplamak için çalınan kimlik bilgileri, tedarik zinciri saldırıları, buluta yanal hareket, OAuth uygulamalarının kötüye kullanılması ve diğerleri gibi çeşitli saldırı yöntemleri kullanıyor.
Rus Hackerlar Microsoft
Microsoft’a yönelik mevcut saldırı itibarıyla, tehdit aktörünün, tehdit etkinliğinin tespitinden kaçınmak için yalnızca özel bir parola listesiyle belirli bir hesap grubuna parola sprey saldırıları kullandığı keşfedildi.
Tehdit aktörü, bu saldırıları meşru kullanıcıların kullandığı çeşitli IP adreslerinden oluşan yerleşik bir proxy altyapısından da gerçekleştirdi. Bu onların kaçma yüzdesini ve başarılı olan uzun süreli saldırıyı artırdı.
Hesabın güvenliği ihlal edildiğinde, tehdit aktörü, güvenliği ihlal edilen hesabın kalıcılığını korumak için kötü amaçlı OAuth uygulamalarını kullanır. Ayrıca tehdit aktörü, oturum açmak için saldırgan tarafından kontrol edilen kötü amaçlı OAuth uygulamasını kullanan yeni bir kullanıcı hesabı da oluşturdu.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
Bu kötü amaçlı OAuth, Microsoft Kurumsal e-posta hesaplarını daha da hedeflemek amacıyla Microsoft Exchange Online’da kimlik doğrulaması yapmak için yeniden kullanıldı. Ancak tehdit aktörü, posta kutularına erişim sağlayan full_access_as_app rolüyle Office 365 Exchange Online’a erişim izni vermek için eski test OAuth uygulamasını da kullandı.
Ayrıca Microsoft şunları da belirtti: “Microsoft Tehdit İstihbaratı aynı aktörün başka kuruluşları da hedef aldığını tespit etti ve olağan bildirim süreçlerimizin bir parçası olarak bu hedeflenen kuruluşları bilgilendirmeye başladık.“
Microsoft, savunma kılavuzu, koruma kılavuzu, hafifletme adımları, avlanma metodolojileri ve diğer birçok bilgi hakkında ayrıntılı bilgi sağlayan bu tehdit aktörünü ayrıntılı olarak açıkladı.
Rahat Ayı olarak da bilinen Midnight Blizzard da HPE bulut tabanlı e-posta ortamını ihlal etmişti.
Cozy Bear muhtemelen Mayıs 2023’ten bu yana HPE’nin sisteminde gizleniyor ve siber güvenliğin kendisi de dahil olmak üzere çeşitli departmanlardaki seçilmiş bir grup posta kutusundan veri çalıyordu.