俄罗斯黑客窃取了微软源代码进入内部系统

微软确认俄罗斯黑客窃取了源代码和一些客户机密：微软周五透露，克里姆林宫支持的威胁行为者midnight blizzard（又名 APT29 或 Cozy Bear）成功访问了其部分源代码。

微软证实，俄罗斯对外情报局黑客组织于 2023 年 11 月入侵了其高管的电子邮件帐户，作为此次恶意活动的一部分，还入侵了其他组织。
Midnight Blizzard被认为是一个与俄罗斯对外情报局 (SVR) 相关的国家支持的网络间谍组织，主要针对美国和欧洲的政府组织、非政府组织、软件开发商和 IT 服务提供商。2024 年 1 月 12 日，微软发现俄罗斯黑客于 2023 年 11 月入侵了其系统，并窃取了其领导层、网络安全和法律团队的电子邮件。其中一些电子邮件包含有关黑客组织本身的信息，使威胁行为者能够了解微软对他们的了解。
微软现在解释说，威胁行为者使用residential proxies和password spraying暴力攻击来针对少数帐户，其中一个帐户是“遗留的非生产测试租户帐户”。
微软的更新解释道：在这次观察到的Midnight Blizzard活动中，攻击者针对有限数量的帐户定制了密码喷射攻击，使用少量尝试来逃避检测，并根据失败的数量避免帐户被封锁。
当 Microsoft 首次披露该漏洞时，许多人想知道此测试帐户是否启用了 MFA，以及测试旧帐户如何拥有足够的权限来横向传播到组织中的其他帐户。
微软现已确认该帐户未启用 MFA，从而允许威胁行为者在暴力破解正确密码后访问微软的系统。
Microsoft 还解释说，此测试帐户可以访问 OAuth 应用程序，并具有对 Microsoft 企业环境的更高访问权限。这种提升的访问权限允许威胁参与者创建额外的 OAuth 应用程序来访问其他公司邮箱，如下所述。
（1）Midnight Blizzard 利用他们的初始访问权限来识别并破坏一个旧版测试 OAuth 应用程序，该应用程序已提升对 Microsoft 企业环境的访问权限。攻击者创建了其他恶意 OAuth 应用程序。
（2）他们创建了一个新的用户帐户，以在 Microsoft 企业环境中向攻击者控制的恶意 OAuth 应用程序授予同意。然后，威胁参与者使用旧版测试 OAuth 应用程序向他们授予 Office 365 Exchange Online full_access_as_app 角色，该角色允许访问邮箱。- 微软。

该公司通过检索 Exchange Web Services (EWS) 日志中的痕迹，结合俄罗斯国家支持的黑客组织使用的已知策略和程序来识别恶意活动。根据这些发现，微软能够识别出 Midnight Blizzard 针对其他组织发起的类似攻击。

这个过程我觉得是：
旧版非生产测试租户帐户 = 具有测试 acc 的旧测试租户 = 弱 asf 通过。
Midnight Blizzard 被认为是俄罗斯对外情报局 (SVR) 的一部分。该威胁发起者至少自 2008 年以来一直活跃，是最多产、最复杂的黑客组织之一，危害了 SolarWinds 等备受瞩目的目标。

喜欢朋友可以点点赞转发转发。

免责声明：本公众号不承担任何由于传播、利用本公众号所发布内容而造成的任何后果及法律责任。未经许可，不得转载。

原文始发于微信公众号（重生者安全团队）：俄罗斯黑客窃取了微软源代码进入内部系统