Xakep #305. Многошаговые SQL-инъекции
Представители Microsoft сообщили, что недавно русскоязычная хак-группа Midnight Blizzard получила доступ к некоторым внутренним системам и репозиториям компании. Атакующие использовали аутентификационные данные, похищенные во время январской атаки на Microsoft.
Напомним, что в середине января 2024 года Microsoft обнаружила, что была взломана русскоязычной группировкой Midnight Blizzard (она же Nobelium, APT29 и Cozy Bear). Тогда сообщалось, что ряд корпоративных email-аккаунтов компании оказался скомпрометирован, а данные похищены.
Хакеры провели в системах Microsoft больше месяца и взломали электронную почту руководителей компании, сотрудников юридического отдела и специалистов по кибербезопасности. Причем в некоторых из украденных писем содержалась информация о самой хак-группе, что позволяло злоумышленникам понять, что Microsoft о них знает.
В компании рассказывали, что хакеры проникли в системы еще в ноябре 2023 года, после того как провели успешную брутфорс-атаку типа password spray (перебор ранее скомпрометированных или часто используемых паролей).
Позже Microsoft опубликовала более детальный отчет об инциденте. Выяснилось, что хакеры использовали резидентные прокси и технику password spray, сконцентрировавшись на небольшом количестве учетных записей. Причем один из атакованных аккаунтов оказался «устаревшей, непроизводственной учетной записью тестового тенанта». Microsoft подтвердила, что многофакторная аутентификация для этого аккаунта была отключена, что позволило атакующим получить доступ к системам Microsoft (после того, как они подобрали правильный пароль).
В компании объясняли, что тестовая учетная запись по ошибке имела доступ к приложению OAuth с привилегированным доступом к корпоративной среде Microsoft. Именно этот расширенный доступ и позволил хакерами создать дополнительные OAuth-приложения для получения доступа к другим корпоративным почтовым ящикам.
Как теперь рассказали в Microsoft, недавно Midnight Blizzard использовала секреты, найденные среди украденных во время январской атаки данных, чтобы получить доступ к некоторым системам и репозиториям исходного кода.
«В последние недели мы обнаружили доказательства того, что Midnight Blizzard использует информацию, полученную из наших корпоративных систем электронной почты, для получения или попытки получения несанкционированного доступа. Включая доступ к некоторым репозиториям исходного кода и внутренним системам компании. На данный момент мы не нашли никаких доказательств того, что системы клиентов, размещенные на хостинге Microsoft, были взломаны», — сообщили специалисты Microsoft Security Response Center.
Хотя Microsoft не объяснила, о каких именно «секретах» идет речь, скорее всего, имелись в виду токены аутентификации, ключи API и учетные данные. В компании заверили, что уже начали работу с клиентами, чьи данные попали в руки хакеров через украденные письма.
«Очевидно, что Midnight Blizzard пытается использовать секреты различных типов, которые удалось обнаружить. Некоторые из этих секретов передавались между клиентами и Microsoft по почте. По мере того, как мы обнаруживали их среди украденной электронной почты, мы связывались и продолжаем связываться с этими клиентами, чтобы помочь им принять меры по предотвращению возможных последствий», — говорят в Microsoft.
Кроме того в компании предупредили, что в последнее время Midnight Blizzard наращивает password spray атаки на целевые системы: в феврале их количество увеличилось в 10 раз по сравнению с январем 2024 года.