Компания Microsoft подтвердила, что в этом месяце хакерская группа Midnight Blizzard (она же Nobelium, APT29 и Cozy Bear) не только взломала ее корпоративную почту, но и атаковала другие организации, благодаря полученному доступу.

Напомним, что 12 января 2024 года Microsoft обнаружила, что атакована русскоязычной группировкой Midnight Blizzard. Тогда сообщалось, что ряд корпоративных email-аккаунтов компании взломан, а данные похищены.

Сообщалось, что хакеры провели в системе Microsoft больше месяца и скомпрометировали электронную почту руководителей компании, сотрудников юридического отдела и специалистов по кибербезопасности. Причем в некоторых из украденных писем содержалась информация о самой хак-группе, что позволяло злоумышленникам понять, что Microsoft о них знает.

В компании рассказывали, что злоумышленники проникли в систему еще в ноябре 2023 года, после того как провели успешную брутфорс-атаку типа password spray (перебор ранее скомпрометированных или часто используемых паролей) и получили доступ к тестовой учетной записи старого непроизводственного тенанта.

Тот факт, что хакеры смогли получить доступ к учетной записи с помощью брутфорса, указывал, что аккаунт не был защищен двухфакторной или многофакторной аутентификацией, которую Microsoft настоятельно рекомендует использовать для всех типов учетных записей.

Также после сообщения Microsoft у специалистов возникло немало вопросов о том, каким образом хакерам удалось перейти к другим аккаунтам. Ведь непроизводственный тестовый аккаунт вряд ли имел права для доступа к другим учетным записям.

В конце прошлой недели Microsoft опубликовала более детальный отчет об этой атаке. Выяснилось, что в ходе атаки хакеры использовали резидентные прокси и технику password spray, сконцентрировавшись на небольшом количестве учетных записей. Причем один из атакованных аккаунтов, как и сообщалось ранее, был «устаревшей, непроизводственной учетной записью тестового тенанта».

«В этой атаке Midnight Blizzard подстроили свою атаку типа password spray под ограниченное число учетных записей, и использовали минимальное количество попыток, чтобы избежать обнаружения и блокировки учетных записей из-за большого количества неудач», — сообщает Microsoft.

Кроме того, Microsoft подтвердила, что многофакторная аутентификация для этого аккаунта действительно была отключена, что позволило атакующим получить доступ к системам Microsoft (после того, как они подобрали правильный пароль).

Также в компании объяснили, что тестовая учетная запись по ошибке имела доступ к приложению OAuth с привилегированным доступом к корпоративной среде Microsoft. Именно этот расширенный доступ позволил хакерами создать дополнительные OAuth-приложения для получения доступа к другим корпоративным почтовым ящикам.

«Midnight Blizzard использовала полученный доступ, чтобы найти и скомпрометировать устаревшее тестовое OAuth-приложение, которое имело привилегированный доступ к корпоративной среде Microsoft. Так атакующие создали дополнительные вредоносные OAuth-приложения.

Также они создали новую учетную запись пользователя, чтобы получить согласие в корпоративной среде Microsoft для подконтрольных им вредоносных OAuth-приложений. Затем злоумышленники использовали устаревшее тестовое OAuth-приложение для предоставления себе роли Office 365 Exchange Online full_access_as_app, которая позволяла получить доступ к почтовым ящикам», — пишет Microsoft.

Как отмечает известный ИБ-специалист Кевин Бомонт (Kevin Beaumont) в своем блоге, единственный способ, который позволяет назначить всемогущую роль full_access_as_app приложению OAuth, это учетная запись с привилегиями администратора. «Кто-то допустил серьезную ошибку при конфигурации», — пишет Бомонт.

Также стоит отметить, что расследование этого инцидента показало, что Midnight Blizzard «атаковала и другие организации», и Microsoft заявляет, что уже начала уведомлять пострадавшие организации о случившемся.

Напомним, что на прошлой неделе компания Hewlett Packard Enterprise (HPE) сообщила, что группировка Midnight Blizzard получила несанкционированный доступ к ее почтовой среде Microsoft Office 365 и успешно похищала оттуда данные, сохраняя доступ с мая 2023 года.

Тогда сообщалось, что HPE получила предупреждение об атаке извне, однако компания не раскрывала, от кого оно было получено. Теперь становится ясно, что предупреждение исходило от представителей Microsoft.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • 1 комментарий
    Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии