与俄罗斯有关的Midnight Blizzard APT黑客组织攻击了微软公司的企业电子邮件

微软警告称，其部分企业电子邮件账户遭到与俄罗斯有关联的网络间谍组织“午夜暴风雪”的入侵。微软已通知执法部门和相关监管机构。

Midnight Blizzard 组织（又名 APT29、SVR 组织、Cozy Bear、Nobelium、BlueBravo 和 The Dukes）以及 APT28 网络间谍组织参与了民主党全国委员会的黑客攻击以及针对 2016 年美国总统大选的攻击浪潮。该组织以 SolarWinds 供应链攻击而闻名，该攻击在 2020 年袭击了包括微软在内的 18,000 多家客户组织。
微软于2024年1月12日发现入侵，并立即对安全漏洞展开调查。这家IT巨头证实已锁定威胁行为者并缓解了攻击。

“2024年1月12日，微软（以下简称‘公司’或‘我们’）检测到，从2023年11月底开始，一个与国家有关的威胁行为者根据初步分析，已访问了极少数员工电子邮件帐户，并从中窃取了信息，这些员工包括我们高级领导团队成员以及网络安全、法律和其他职能部门的员工。”提交给美国证券交易委员会的8-K表格中写道。“我们正在检查访问的信息，以确定事件的影响。我们还将继续调查事件的程度。”

该公司将此次攻击归咎于俄罗斯网络间谍组织Midnight Blizzard。
国家资助的黑客于2023年11月下旬首次通过密码喷射攻击入侵了公司系统。密码喷射是一种暴力攻击，攻击者根据应用程序上具有默认密码的用户名列表进行暴力登录。在这种攻击场景中，威胁行为者使用一个密码攻击应用程序上的许多不同帐户，以避免在暴力破解具有多个密码的单个帐户时通常会触发的帐户锁定。

微软透露，威胁行为者获得了对旧式非生产测试租户帐户的访问权限，并使用该帐户的权限访问了极少数微软公司电子邮件帐户。攻击者获得了对公司高级领导团队成员以及网络安全、法律和其他职能部门员工的帐户的访问权限。该公司还证实，攻击者已经泄露了一些电子邮件和附件。该APT组织最初针对电子邮件帐户，以收集有关微软对Midnight Blizzard活动的调查的情报。微软正在通知受影响的员工。

该公司指出，攻击者没有利用微软产品或服务中的任何漏洞。微软还补充说，没有证据表明威胁行为者可以访问客户环境、生产系统、源代码或人工智能系统。

微软写道：“此次攻击不是微软产品或服务中存在漏洞的结果。迄今为止，没有证据表明威胁行为者可以访问客户环境、生产系统、源代码或人工智能系统。如果需要采取任何行动，我们将通知客户。这次攻击确实突显了像Midnight Blizzard这样资源充足的民族国家威胁行为者对所有组织构成的持续风险。”

根据8-K表格，此事件对公司的运营没有实质性影响。“公司尚未确定此事件是否有可能对公司的财务状况或业绩产生实质性影响。”文件中写道。此次事件的教训是，受损的账户未能充分保护免受暴力攻击。有效缓解暴力攻击的技术包括启用多重身份验证（MFA），使用强密码，利用CAPTCHA，IP速率限制，实施账户锁定，日志监控。意大利读者可以收听我的播客，了解启用2FA以保护我们的账户的重要性。https://tg24.sky.it/tecnologia/2024/01/17/cybersecurity-quella-porta-blindata-che-puo-salvare-un-account

原文始发于微信公众号（黑猫安全）：与俄罗斯有关的Midnight Blizzard APT黑客组织攻击了微软公司的企业电子邮件