应急响应不力?微软披露被黑后内网进一步失陷,源代码和内部系统遭访问

admin
admin
admin
102360
文章
87
评论
2024年3月11日20:54:43评论14 views字数 1681阅读5分36秒阅读模式

关注我们

带你读懂网络安全

应急响应不力?微软披露被黑后内网进一步失陷,源代码和内部系统遭访问

“午夜暴雪”组织利用此前窃取的机密信息对微软及其客户发起进一步攻击,微软公司虽然发现了攻击,但无法快速清除对手,导致源代码和内部系统失陷。

前情回顾·微软安全争议
安全内参3月11日消息,微软表示,俄罗斯支持黑客在1月入侵公司网络以后,已扩大了入侵范围并对客户发起进一步攻击,成功侵入了微软的源代码和内部系统。
这起入侵事件的实施者是名为“午夜暴雪”的黑客组织,该组织通常被认为是俄罗斯联邦安全局的附属组织。该组织还有多个代号,包括APT29、Cozy Bear、CozyDuke、The Dukes、Dark Halo和Nobelium。
在1月事件初次披露时,微软表示,“午夜暴雪”首先利用了接入公司网络的一台测试设备的弱密码,经过数月尝试成功进入了高管的电子邮件帐号。没有迹象表明任何源代码或生产系统遭到破坏。

通过电子邮件发送的机密信息

在3月8日发布的更新公告中,微软称他们发现了证据,表明“午夜暴雪”利用最初获得的信息进一步渗透了公司网络,并成功攻破了源代码和内部系统。他们已经开始使用这些专有信息对微软及其客户发起后续攻击
应急响应不力?微软披露被黑后内网进一步失陷,源代码和内部系统遭访问
更新公告称,“最近几周,我们发现‘午夜暴雪’一直在利用最初从微软企业电子邮件系统泄露的信息,来获取或尝试获取未经授权的访问权限。其中包括对一些公司源代码存储库和内部系统的访问权限。截至目前,尚未发现任何由微软托管的面向客户的系统受到破坏。”
微软在1月的披露中表示,“午夜暴雪”使用了密码喷洒攻击技术,来入侵公司网络上的“遗留的非生产测试租户帐号”。这些细节说明该帐号被废弃后并没有被移除,这违背了“废弃即移除”这一对网络安全至关重要的操作原则。此外,这些细节还显示,用于登录该帐号的密码非常弱,易受密码喷洒攻击。所谓密码喷洒,就是发送一系列从先前入侵行动中获取的凭据来猜测密码。 
更新公告显示,在接下来的几个月里,“午夜暴雪”一直在利用早期获得的信息发动进一步攻击,本就很高的密码喷洒成功率得到进一步提升

前所未有的全球性威胁

微软官方称:

显然,“午夜暴雪”正尝试利用其发现的不同类型的机密信息,其中一些信息是通过电子邮件在客户和微软之间共享的。我们在被泄电子邮件中发现了这些机密信息,便一直在联系相关客户,协助他们采取缓解措施。2024年1月,“午夜暴雪”已经发动了相当多的攻击。到了2月,该组织某些类型的攻击数量(比如密码喷洒)增加了多达10倍。 

“午夜暴雪”正在发动持续攻击。这一威胁行为者正以极高的协调能力和专注度持续投入大量资源。他们可能正在利用获取的信息绘制目标区域的全景,并提升这方面的能力。这反映了前所未有的全球性威胁景观,特别是在复杂的国家级攻击方面。

这次攻击始于2023年11月,直到今年1月才被发现。微软当时表示,通过此次入侵,“午夜暴雪”得以监视高管和安全人员的电子邮件帐号。因此,该组织非常有可能在长达三个月的时间内持续读取敏感通信。微软表示,“午夜暴雪”发动攻击的一个动机是评估微软对威胁组织的了解程度。微软在上周五再次重申了当初的看法,没有证据表明黑客已经访问了面向客户的系统。
“午夜暴雪”是最活跃的高级持续威胁(APT)组织之一。APT指由国家支持的技术娴熟、资金雄厚的黑客组织。“午夜暴雪”是太阳风(SolarWinds)供应链攻击的幕后黑手,该攻击导致美国能源、商务、财政和国土安全部以及约100家私营部门公司被黑。
上周,英国国家网络安全中心(NCSC)和国际合作伙伴警告称,近几个月来,“午夜暴雪”组织已经扩大了活动范围,将针对航空、教育、执法、地方和州议会、政府财政部门和军事组织发起攻击。

参考资料:arstechnica.com

原文始发于微信公众号(安全内参):应急响应不力?微软披露被黑后内网进一步失陷,源代码和内部系统遭访问

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年3月11日20:54:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   应急响应不力?微软披露被黑后内网进一步失陷,源代码和内部系统遭访问https://cn-sec.com/archives/2567547.html

发表评论

匿名网友 填写信息