Hackerii ruși care au piratat Microsoft au vizat și alte organizații

Microsoft a identificat, în 12 ianuarie 2024, un actor statal, „Midnight Blizzard”, atacându-i sistemele corporative. După această descoperire, Microsoft a activat procese de răspuns la incident pentru a bloca atacul. Microsoft urmărește „Midnight Blizzard” de ceva timp și a declarat că infiltrarea în sistemele sale a fost posibilă datorită unui cont care avea o parolă slabă și care a fost spartă de atacatori, potrivit Cyber Security News.

Potrivit rapoartelor transmise Cyber ​​Security News, Midnight Blizzard este o entitate rusească sponsorizată de stat și este responsabilă pentru compromiterea mai multor entități guvernamentale și private (guverne, entități diplomatice, organizații neguvernamentale (ONG) și furnizori de servicii IT din SUA și Europa).

Hackeri spioni

Acest actor este activ din 2018, iar obiectivul său principal este spionajul entităților din afara Rusiei.

Midnight Blizzard folosește mai multe metode de atac pentru spionaj și colectare de informații, cum ar fi furtul de acreditări, atacuri în lanțul de aprovizionare, abuzul de aplicații OAuth și multe altele.

Începând cu acest atac împotriva Microsoft, s-a descoperit că hackerii au încercat să spargă parolele folosind metoda spraying (folostrea aceleași parole pe mai multe conturi înainte de a încerca o alta).

Ei au lansat aceste atacuri dintr-o infrastructură proxy rezidențială constând din mai multe adrese IP ale unor utilizatori legitimi.

Odată ce contul a fost compromis, actorul rău intenționat folosește aplicații OAuth maligne pentru a menține controlul asupra contului pe care tocmai l-a atacat. În plus, atacatorul a creat și un nou cont de utilizator care folosește aplicația OAuth pentru a se conecta.

Acest OAuth a fost din nou folosit pentru a se autentifica în Microsoft Exchange Online pentru a viza în continuare conturile de e-mail Microsoft Corporate. Cu toate acestea, actorul malign a folosit și aplicația OAuth pentru a avea acces la Office 365 Exchange Online.

„Microsoft Threat Intelligence a descoperit că același actor a vizat alte organizații și, ca parte a proceselor noastre obișnuite de notificare, am început să notificăm aceste organizații vizate.”

Microsoft

Midnight Blizzard, cunoscut și sub numele de Cozy Bear, a atacat și serviciul de e-mail bazat pe cloud al HP.

Carol Dan

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Cele mai recente știri

spot_img

Abonează-te la cele mai recente știri din IT, Digitalizare, Tehnologii & Crypto

Te-ar putea interesa și...