Ngày 12 tháng 7 năm 2023THNTĐe dọa Intel / Gián điệp mạng
Microsoft hôm thứ Ba tiết lộ rằng họ đã đẩy lùi một cuộc tấn công mạng do một diễn viên nhà nước Trung Quốc dàn dựng nhắm vào hai chục tổ chức, một số tổ chức bao gồm các cơ quan chính phủ, trong một chiến dịch gián điệp mạng được thiết kế để thu thập dữ liệu bí mật.
Các cuộc tấn công bắt đầu vào ngày 15 tháng 5 năm 2023, đòi hỏi quyền truy cập vào các tài khoản email ảnh hưởng đến khoảng 25 tổ chức và một số ít tài khoản người tiêu dùng cá nhân có liên quan.
Gã khổng lồ công nghệ quy kết chiến dịch cho Storm-0558, mô tả nó là một nhóm hoạt động quốc gia-nhà nước có trụ sở bên ngoài Trung Quốc, chủ yếu chỉ ra các cơ quan chính phủ ở Tây Âu.
Microsoft cho biết: “Họ tập trung vào hoạt động gián điệp, đánh cắp dữ liệu và truy cập thông tin xác thực. “Họ cũng được biết là sử dụng phần mềm độc hại tùy chỉnh mà Microsoft theo dõi là Cigril và Bling, để truy cập thông tin xác thực.”
Vi phạm được cho là đã được phát hiện một tháng sau đó vào ngày 16 tháng 6 năm 2023, sau khi một khách hàng không xác định danh tính báo cáo hoạt động email bất thường cho công ty.
Microsoft cho biết họ đã thông báo trực tiếp cho tất cả các tổ chức bị nhắm mục tiêu hoặc bị xâm phạm thông qua quản trị viên đối tượng thuê của họ. Nó không nêu tên các tổ chức và cơ quan bị ảnh hưởng cũng như số lượng tài khoản có thể đã bị tấn công.
Tuy nhiên, theo Washington Post, những kẻ tấn công cũng đã đột nhập vào một số tài khoản email chưa được phân loại của Hoa Kỳ.
Quyền truy cập vào tài khoản email của khách hàng, theo Redmond, đã được hỗ trợ thông qua Outlook Web Access trong Exchange Online (OWA) và Outlook.com bằng cách giả mạo mã thông báo xác thực.
“Tác nhân đã sử dụng khóa MSA có được để giả mạo mã thông báo để truy cập OWA và Outlook.com,” nó giải thích. “Khóa MSA (người tiêu dùng) và khóa Azure AD (doanh nghiệp) được cấp và quản lý từ các hệ thống riêng biệt và chỉ có hiệu lực đối với các hệ thống tương ứng của chúng.”
“Tác nhân đã khai thác sự cố xác thực mã thông báo để mạo danh người dùng Azure AD và có quyền truy cập vào thư doanh nghiệp.”
HỘI THẢO TRỰC TUYẾN SẮP TỚI
Lá chắn chống lại các mối đe dọa nội bộ: Quản lý tư thế bảo mật SaaS Master
Lo lắng về các mối đe dọa nội bộ? Chúng tôi đã có bạn bảo hiểm! Tham gia hội thảo trực tuyến này để khám phá các chiến lược thực tế và bí mật của bảo mật chủ động với Quản lý tư thế bảo mật SaaS.
tham gia ngay hôm nay
Không có bằng chứng nào cho thấy tác nhân đe dọa đã sử dụng khóa Azure AD hoặc bất kỳ khóa MSA nào khác để thực hiện các cuộc tấn công. Kể từ đó, Microsoft đã chặn việc sử dụng mã thông báo được ký bằng khóa MSA đã mua trong OWA để giảm thiểu cuộc tấn công.
“Loại kẻ thù có động cơ gián điệp này tìm cách lạm dụng thông tin xác thực và giành quyền truy cập vào dữ liệu nằm trong các hệ thống nhạy cảm”, Charlie Bell, phó chủ tịch điều hành bộ phận An ninh của Microsoft, cho biết.
Tiết lộ này được đưa ra hơn một tháng sau khi Microsoft vạch trần các cuộc tấn công cơ sở hạ tầng quan trọng được thực hiện bởi một tập thể đối thủ của Trung Quốc có tên là Volt Typhoon (còn gọi là Hình bóng đồng hoặc Gấu trúc tiên phong) nhắm vào Hoa Kỳ
