俄罗斯关联的APT组织午夜暴风雪黑客攻击了惠普企业（HPE）

惠普企业（HPE）透露，据称与俄罗斯有关的网络间谍组织“午夜暴风雪”获得了其基于微软Office 365的云端电子邮件环境的访问权限。

攻击者正在收集有关该公司网络安全部门和其他职能部门的信息。

午夜暴风雪组织（又名APT29、SVR组织、舒适熊、诺贝尔奖、蓝布拉沃和公爵）以及APT28网络间谍组织参与了民主党全国委员会的黑客攻击和针对2016年美国总统选举的一系列攻击。该组织因2020年对包括微软在内的18,000多家客户组织的SolarWinds供应链攻击而闻名。

HPE在2023年12月意识到入侵事件，并立即在外部网络安全专家的帮助下启动了对安全漏洞的调查。

调查发现，攻击者自2023年5月起获得公司环境的访问权限并窃取了数据。网络间谍侵入了一小部分属于网络安全、市场、业务部门和其他职能部门的HPE邮箱。

“2023年12月12日，惠普企业公司（以下简称“公司”、“HPE”或“我们”）接到通知，一名涉嫌民族国家行为者，被认为是午夜暴风雪威胁行为者，也被称为舒适熊的国家赞助行为者，未经授权地获得了HPE的基于云的电子邮件环境的访问权限。公司立即在外部网络安全专家的协助下启动了我们的响应程序进行调查、遏制和修复事件，消除了该活动。”在提交给美国证券交易委员会（SEC）的FORM8-K文件中写道。“根据我们的调查，我们现在认为，威胁行为者从2023年5月开始从一小部分属于我们网络安全、市场、业务部门和其他职能部门的HPE邮箱中访问和窃取数据。”

调查仍在进行中，然而，这家IT巨头确定入侵事件可能与同一APT组织进行的另一次攻击有关，他们在2023年6月接到了通知。
早在2023年5月，该公司发现未经授权的访问和少量SharePoint文件的窃取。
“在6月份接到通知后，我们立即在外部网络安全专家的协助下进行调查，并采取了遏制和补救措施，以消除该活动。”该公司继续说道。“在采取这些行动后，我们确定此类活动没有对公司造成重大影响。”

该公司已通知执法部门和监管机构。HPE强调，截至提交日期，该事件尚未对其运营造成重大影响。

最近，微软警告称其部分企业电子邮件账户遭到了与俄罗斯有关的午夜暴风雪组织的入侵。微软已通知执法部门和相关监管机构。

微软在2024年1月12日发现了入侵事件，并立即展开了对该安全漏洞的调查。这家IT巨头证实已经锁定了威胁行为者并减轻了攻击。

“2024年1月12日，微软（“公司”或“我们”）发现从2023年11月下旬开始，一个与民族国家相关的威胁行为者获得了对一小部分员工电子邮件账户的访问权限，包括我们高级领导团队成员以及我们在网络安全、法律和其他职能部门的员工。这是基于初步分析的。”提交给美国证券交易委员会（SEC）的8-K表格文件中写道。“我们正在检查所访问的信息以确定事件的影响。我们还继续调查事件的严重程度。”

国家资助的黑客首先在2023年11月下旬通过密码喷洒攻击破坏了公司系统。密码喷洒是一种暴力攻击，攻击者根据应用程序上的用户名和默认密码列表进行暴力登录。在此攻击场景中，威胁行为者使用一个密码对应用程序上的许多不同帐户进行攻击，以避免在用多个密码暴力破解单个帐户时通常会触发的帐户锁定。

微软透露，威胁行为者获得了访问非生产测试租户帐户的权限，并利用该帐户的权限访问了很小一部分微软公司电子邮件帐户。攻击者获得了公司高级领导团队成员以及网络安全、法律和其他职能部门员工的帐户访问权限。该公司还证实，攻击者已窃取了一些电子邮件和附加文档。该APT组织最初针对电子邮件帐户收集有关微软对午夜暴风雪活动的调查的情报。微软正在通知受影响的员工。

该公司指出，攻击者没有利用微软产品或服务中的任何漏洞。微软还补充说，没有证据表明威胁行为者有任何机会访问客户环境、生产系统、源代码或人工智能系统。

“此次攻击并非微软产品或服务中的漏洞所致。迄今为止，没有证据表明该威胁行为者曾访问过客户环境、生产系统、源代码或人工智能系统。如果需要采取任何行动，我们将通知客户。”微软写道。“这次攻击突显出，像午夜暴风雪这样的资源充足的民族国家威胁行为者给所有组织带来的持续风险。”

该事件尚未对公司的运营产生重大影响。该文件写道：“公司尚未确定该事件是否很有可能对公司的财务状况或经营业绩产生重大影响。”

原文始发于微信公众号（黑猫安全）：俄罗斯关联的APT组织“午夜暴风雪”黑客攻击了惠普企业（HPE）