Microsoft, Rus saldırganların kurumsal e-posta sistemini ihlal etmek, mesajları ve ekleri çalmak için sahte OAuth uygulamalarını nasıl kullandığını tespit etti.
Geçtiğimiz yıl NSA ve FBI, Midnight Blizzard’ın (NOBELIUM ve Cozy Bear olarak da bilinir) Rusya’nın Dış İstihbarat Servisi (SVR) adına hareket ettiğini tespit etti.
HPE, 12 Ocak’ta tespit edilen bir saldırıda Microsoft’un ihlallerinin yanı sıra, 19 Ocak Menkul Kıymetler Borsası Komisyonu (SEC) bildiriminde bulut tabanlı e-posta ortamının Aralık 2023’te ihlal edildiğini söyledi.
Microsoft, bir blog yazısında, ilk saldırı vektörünün, parola sprey saldırısı aracılığıyla MFA’dan yoksun “eski, üretim dışı bir test kiracısı” olduğunu söyledi.
Bu erişim, saldırganların başka bir eski test uygulamasını, bu kez “Microsoft kurumsal ortamına yüksek erişime sahip” bir OAuth uygulamasını tehlikeye atmasına olanak tanıdı.
Bu, Midnight Blizzard’ın ek OAuth uygulamaları oluşturmasına ve Microsoft’un kurumsal sistemlerinde hileli OAuth uygulamalarına izin verebilecek bir kullanıcı hesabı oluşturmasına olanak tanıdı.
Microsoft, blog yazısında şunları söyledi: “Tehdit aktörü daha sonra eski test OAuth uygulamasını kullanarak onlara posta kutularına erişime izin veren Office 365 Exchange Online full_access_as_app rolünü verdi.”
Saldırıyla ilgili orijinal bildiriminde (19 Ocak’ta yayınlandı) Microsoft, saldırganların yaklaşık dört hafta boyunca “Microsoft e-posta hesaplarının çok küçük bir yüzdesine” erişebildiğini söyledi.
Kurbanlar arasında şirketin üst düzey liderlik ekibi ve siber güvenlik, hukuk ve “diğer işlevler”deki personel de vardı.
Microsoft, “Soruşturma, başlangıçta Midnight Blizzard ile ilgili bilgiler için e-posta hesaplarını hedeflediklerini gösteriyor” dedi.
Saldırının diğer dikkat çekici özelliği ise Midnight Blizzard’ın “trafikin ele geçirilen kullanıcıların IP adresleri üzerinden yönlendirildiği yerleşik proxy ağlarını” kullanmasıydı.
HPE saldırısı da benzer şekilde gerçekleşti ve “siber güvenlik, pazara açılma, iş segmentleri ve diğer işlevlerdeki” personel vuruldu.
HPE, en son saldırıyı Midnight Blizzard’ın “Mayıs 2023 gibi erken bir tarihte sınırlı sayıda SharePoint dosyasına yetkisiz erişim ve bu dosyaların sızmasını içeren” “önceki etkinliği” ile ilişkilendirdi.