俄罗斯黑客在长达一个月的黑客行动中窃取了微软公司电子邮件

微软周五晚间警告称，其部分企业电子邮件帐户遭到俄罗斯官方背景的名为“Midnight Blizzard（午夜暴雪）”的黑客组织入侵和数据窃取。

该公司于 1 月 12 日检测到了此次攻击，微软的调查最终确定该攻击是由俄罗斯黑客组织（通常称为Nobelium或 APT29）发起的。

微软表示，APT29黑客组织于 2023 年 11 月入侵了他们的系统，当时他们进行了密码暴力破解攻击，以访问遗留的非生产测试租户帐户。

密码暴力破解是攻击者收集潜在登录名列表，然后尝试使用特定密码登录所有这些用户名。如果该密码失败，他们会使用其他密码重复此过程，直到用完或成功破坏该帐户。

黑客能够使用暴力攻击获得对该帐户的访问权限，这一事实表明该帐户没有受到双因素身份验证 (2FA) 或多因素身份验证 (MFA) 的保护，而这是Microsoft 建议所有网上账户改进的安全措施。

微软表示，一旦黑客获得了“测试”帐户的访问权限，Nobelium 黑客就利用该帐户访问了“一小部分”微软公司电子邮件帐户，持续了一个多月。

除非攻击者使用此测试帐户来破坏系统并转向具有更高权限的帐户，否则尚不清楚为什么非生产测试帐户有权访问 Microsoft 公司电子邮件系统中的其他帐户。

微软表示，被泄露的电子邮件帐户包括微软领导团队的成员以及网络安全和法律部门的员工，黑客从这些帐户中窃取了电子邮件和附件。

微软安全响应中心在一份有关该事件的报告（https://msrc.microsoft.com/blog/2024/01/microsoft-actions-following-attack-by-nation-state-actor-midnight-blizzard/）中分享道：“调查表明，他们最初的目标是通过电子邮件帐户获取与Midnight Blizzard（午夜暴雪）本身相关的信息 。”

“我们已通知电子邮件被访问的员工。”

微软重申，此次泄露并非由其产品和服务中的漏洞造成，而是由对其帐户的暴力破解密码攻击造成的。

然而，根据微软分享的有限信息，此次泄露事件的很大一部分似乎是由于被泄露帐户的安全配置不善造成的。

虽然微软仍在调查此次泄露事件，但他们表示将酌情分享更多详细信息。

微软在向SEC提交的 8-K 表中表示，此次黑客破坏行为并未对公司的运营产生重大影响。

Nobelium是谁

Nobelium（又名 Midnight Blizzard、APT29 和 Cozy Bear）是一个俄罗斯官方背景的黑客组织，据信是俄罗斯对外情报局 (SVR) 的一部分，多年来与众多攻击有关。

当美国政府将黑客与2020 年 SolarWinds 供应链攻击联系起来时， 这些黑客声名狼藉 ， 当时微软也受到了影响。

微软后来证实，SolarWinds 攻击允许黑客窃取有限数量的 Azure、Intune 和 Exchange 组件的源代码。

2021 年 6 月，该黑客组织再次入侵了微软公司帐户，使他们能够访问客户支持工具。

除了进行网络间谍和数据盗窃攻击之外，Nobelium 还因开发用于攻击的定制恶意软件而闻名。

微软一直是一个备受重视的目标，因为它控制着全球政府和企业使用的大量数据和服务。

更多有关午夜暴风雪 (NOBELIUM)行动的报告，可参考以下链接：

https://www.microsoft.com/en-us/security/blog/tag/midnight-blizzard-nobelium/

参考链接：https://www.bleepingcomputer.com/news/security/russian-hackers-stole-microsoft-corporate-emails-in-month-long-breach/