مایکروسافت جزئیات هک Midnight Blizzard را فاش کرد

مایکروسافت تایید کرده است که گروه هکر Midnight Blizzard که در نوامبر 2023 به حساب های ایمیل مدیران شرکت نفوذ کرده بود، به سازمان های دیگر نیز نفوذ کرده است.

به گزارش TechNock، گروه هکر Midnight Blizzard که با نام‌های Nobelium و APT29 نیز شناخته می‌شود، توسط دولت روسیه حمایت می‌شود و وابسته به سرویس اطلاعات خارجی روسیه (SVR) است. این گروه به عنوان هدف اصلی سازمان‌های دولتی و غیردولتی و توسعه‌دهندگان نرم‌افزار و ارائه‌دهندگان خدمات فناوری اطلاعات در ایالات متحده و اروپا شناخته شده است.

در 12 ژانویه 2024، مایکروسافت اعلام کرد که هکرهای روسی در نوامبر 2023 به سیستم‌های این شرکت نفوذ کرده و ایمیل‌های رهبری، امنیت سایبری و تیم‌های حقوقی شرکت را سرقت کردند. برخی از این ایمیل‌ها حاوی اطلاعاتی درباره خود گروه هکر بودند که به عوامل تهدید اجازه می‌داد از دانش مایکروسافت در مورد فعالیت‌های خود مطلع شوند.

مایکروسافت توضیح داد که عوامل تهدید از پروکسی های مسکونی و تکنیک های “پاشش رمز عبور” برای هدف قرار دادن تعداد محدودی از حساب ها استفاده می کنند. یکی از این حساب ها «حساب آزمایشی قدیمی غیر تولیدی» بود. مایکروسافت افزود که در فعالیت‌های اخیر گروه هک Midnight Blizzard، عامل تهدید تلاش‌های خود را برای حملات پاشش رمز عبور به چند حساب محدود کرده است. این رویکرد با استفاده از تعداد محدودی از تلاش ها برای جلوگیری از شناسایی و مسدود کردن حساب ها بر اساس تعداد خرابی ها انجام می شود.

هنگامی که مایکروسافت برای اولین بار این نقض امنیتی را فاش کرد، سؤالاتی در مورد اینکه آیا احراز هویت چند عاملی (MFA) برای حساب آزمایشی فعال است و چگونه حساب آزمایشی قدیمی ممکن است دارای امتیازاتی باشد که انتشار جانبی به حساب های دیگر در سازمان را تسهیل می کند، مطرح شد. مطرح شد. اکنون مایکروسافت تأیید کرده است که MFA برای این حساب فعال نشده است. این به عوامل تهدید اجازه می‌داد تا پس از دسترسی به رمز عبور صحیح، وارد سیستم‌های مایکروسافت شوند.

مایکروسافت گفت که حساب آزمایشی با استفاده از برنامه OAuth با دسترسی بالا به محیط شرکتی مایکروسافت دسترسی داشته است. این دسترسی بالا به عوامل تهدید اجازه می دهد تا برنامه های OAuth بیشتری برای دسترسی به سایر صندوق های پستی شرکت ایجاد کنند. Midnight Blizzard از این دسترسی اولیه برای شناسایی و به خطر انداختن یک برنامه آزمایشی قدیمی OAuth با دسترسی بالا به محیط شرکتی مایکروسافت استفاده کرد و یک عامل تهدید برای برنامه‌های مخرب OAuth ایجاد کرد.

گروه Midnight Blizzard در اقدامات خود علیه مایکروسافت، یک حساب کاربری جدید برای اعطای رضایت های لازم برای برنامه های مخرب OAuth کنترل شده خود در محیط شرکتی مایکروسافت ایجاد کرد. عامل تهدید سپس از برنامه آزمایشی قدیمی OAuth برای اعطای نقش full_access_as_app Office 365 Exchange Online به این حساب ها استفاده کرد که به آنها امکان دسترسی به صندوق های پستی شرکت را می داد.

مایکروسافت با بررسی ردیابی‌ها در گزارش‌های سرویس‌های وب Exchange (EWS) و استفاده از تاکتیک‌ها و رویه‌های شناخته‌شده‌ای که توسط گروه‌های هکر تحت حمایت دولت روسیه استفاده می‌شود، توانست این فعالیت‌های مخرب را شناسایی کند. بر اساس این یافته‌ها، مایکروسافت توانست حملات مشابهی را که توسط Midnight Blizzard انجام شده و سازمان‌های دیگر را هدف قرار داده بود، شناسایی کند.

مایکروسافت در به روز رسانی جدید خود هشدار می دهد که با استفاده از اطلاعات به دست آمده از فعالیت های Midnight Blizzard، بخش تهدیدات این شرکت شناسایی کرده است که همان عامل تهدید، سازمان های دیگر را نیز هدف قرار داده است. مایکروسافت به عنوان بخشی از فرآیندهای عادی اطلاع رسانی خود، اطلاع رسانی به این سازمان های هدف را آغاز کرده است. این اقدامات نشان دهنده تلاش های مایکروسافت برای مقابله با تهدیدات سایبری و محافظت از مشتریان و سازمان های شریک است.

مقابله با کولاک نیمه شب

ردموندی در آخرین پست خود راه های گسترده ای برای شناسایی، ردیابی و مسدود کردن فعالیت های مخرب گروه هک APT29 ارائه کرده است. این شرکت بزرگ فناوری توجه ویژه به هشدارهای هویت و XDR (تشخیص و پاسخ گسترده) و SIEM (اطلاعات امنیتی و مدیریت رویداد) را توصیه می کند. سناریوهای خاصی که به طور مشکوکی با فعالیت های گروه Midnight Blizzard مرتبط هستند عبارتند از:

1. فعالیت زیاد در برنامه های دسترسی به ایمیل ابری که می تواند بازیابی اطلاعات احتمالی را نشان دهد.
2. افزایش در تماس های API پس از به روز رسانی اطلاعات ورود به سیستم در برنامه های غیر مایکروسافت OAuth که نشان دهنده دسترسی غیرمجاز است.
3. افزایش استفاده از Exchange Web Services API در برنامه‌های OAuth غیر مایکروسافت، که احتمالاً نشان دهنده نشت داده است.
4. برنامه های غیر مایکروسافت OAuth با ابرداده های پرخطر شناخته شده به طور بالقوه در نقض داده ها دخیل هستند.
5. برنامه های OAuth تولید شده توسط کاربر از جلسات پرخطر که نشان دهنده سوء استفاده از حساب های در معرض خطر است.

در نهایت، مایکروسافت توصیه می‌کند از جستجوهای هدفمند در Microsoft Defender XDR و Microsoft Sentinel برای شناسایی و بررسی فعالیت‌های مشکوک استفاده کنید. این رویکردها به سازمان ها کمک می کند تا از تهدیدات سایبری محافظت کنند و به طور موثرتری به آنها پاسخ دهند.

پست مایکروسافت جزئیات هک بلیزارد نیمه شب را فاش کرد اولین بار در Oneknock – اخبار دنیای فناوری ظاهر شد. ظاهر شد.