惠普企业遭俄罗斯关联黑客攻击，个人信息泄露事件曝光

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

惠普企业（Hewlett Packard Enterprise, HPE）已开始通知那些在2023年12月遭受与俄罗斯有关的威胁行为者攻击而受到影响的个人。

惠普企业已启动对在2023年12月网络攻击中个人信息被泄露人员的通知工作。

2024年1月，惠普企业披露，疑似与俄罗斯有关的网络间谍组织“午夜暴雪”（Midnight Blizzard）入侵了其基于微软Office 365云端的电子邮件环境。

攻击者当时在收集该公司网络安全部门及其他部门的信息。

“午夜暴雪”组织（又称APT29、SVR组织、惬意熊（Cozy Bear）、诺贝尔ium、BlueBravo和The Dukes）与APT28网络间谍组织曾参与民主党全国委员会黑客攻击以及针对2016年美国总统大选的一系列攻击。该组织因2020年的SolarWinds供应链攻击而闻名，那次攻击波及了包括微软在内的18000多家客户机构。

惠普企业在2023年12月察觉到此次入侵，并在外部网络安全专家的协助下，立即对这起安全漏洞展开调查。

调查显示，自2023年5月起，攻击者就已进入该公司环境并窃取数据。这些网络间谍入侵了惠普企业一小部分邮箱，涉及网络安全、市场推广、业务部门及其他职能部门的人员。

惠普企业向美国证券交易委员会（SEC）提交的8-K表格文件中写道：“2023年12月12日，惠普企业（以下简称‘公司’‘HPE’或‘我们’）接到通知，一个疑似来自国家的行为者，据信是威胁行为者‘午夜暴雪’（即国家支持的‘惬意熊’组织），未经授权访问了HPE基于云端的电子邮件环境。公司在外部网络安全专家的协助下，立即启动响应流程，对该事件展开调查、遏制和修复，消除了相关活动。根据我们的调查，现在我们认为，自2023年5月起，该威胁行为者就访问并窃取了HPE一小部分邮箱的数据，这些邮箱属于我们网络安全、市场推广、业务部门及其他职能部门的人员。”

这家IT巨头判断，此次入侵很可能与同一高级持续性威胁（APT）组织在2023年6月实施的另一起攻击有关。

早在2023年5月，该公司就发现有限数量的SharePoint文件遭到未经授权的访问和数据窃取。

公司还表示：“在6月接到通知后，我们在外部网络安全专家的协助下立即展开调查，并采取了遏制和修复措施，旨在消除相关活动。在采取这些行动后，我们判定此类活动并未对公司造成实质性影响。”

该公司已通知执法部门和监管机构。HPE强调，截至文件提交之日，该事件尚未对其运营产生重大影响。

2024年初，微软发出警告，称其部分企业电子邮件账户遭到了与俄罗斯有关的“午夜暴雪”组织的入侵。微软已通知执法部门和相关监管机构。

微软在2024年1月12日发现了此次入侵，并立即对安全漏洞展开调查。这家IT巨头证实已将威胁行为者锁定在外，并缓解了攻击。

微软向美国证券交易委员会提交的8-K表格文件中写道：“2024年1月12日，微软（以下简称‘公司’或‘我们’）检测到，自2023年11月下旬起，一个与国家有关的威胁行为者访问并从极少数员工电子邮件账户中窃取了信息，包括我们的高级领导团队成员以及网络安全、法务和其他职能部门的员工。根据初步分析，我们正在检查被访问的信息，以确定该事件的影响。我们还在继续调查该事件的影响范围。”

这些受国家支持的黑客在2023年11月下旬首次通过密码喷洒攻击入侵了公司系统。密码喷洒是一种暴力破解攻击，攻击者根据用户名列表，使用默认密码对应用程序进行暴力登录尝试。在这种攻击场景中，威胁行为者对应用程序上的许多不同账户使用一个密码，以避免在对单个账户使用多个密码进行暴力破解时通常会触发的账户锁定。

微软透露，威胁行为者入侵了一个遗留的非生产测试租户账户，并利用该账户的权限访问了极少数微软企业电子邮件账户。攻击者获取了公司高级领导团队成员以及网络安全、法务和其他职能部门员工的账户访问权限。该公司还证实，攻击者窃取了一些电子邮件及附件文档。这个APT组织最初针对电子邮件账户，目的是收集微软对“午夜暴雪”活动调查的情报。微软正在通知受影响的员工。

该公司指出，攻击者并未利用微软产品或服务中的任何漏洞。微软还补充说，没有证据表明威胁行为者能够访问客户环境、生产系统、源代码或人工智能系统。

HPE最近证实，该事件已得到控制和修复，但确认威胁行为者从被入侵的邮箱中获取了数据。

HPE向新罕布什尔州总检察长办公室提交的监管文件中称：“HPE的取证调查确定，某些个人的个人信息可能已被未经授权访问。在电子数据发现专家的协助下，HPE对相关数据进行了全面审查，以确定可能被未经授权访问的信息类型，并确定这些信息涉及哪些人。2025年1月29日，HPE开始根据适用法律向受影响的个人发出此次事件通知。通知形式与作为附件A附后的信件基本相同。”

2025年2月5日，HPE还通知了马萨诸塞州消费者事务与商业监管办公室（OCABR），称有10名马萨诸塞州居民的社保号码、驾照信息以及信用卡或借记卡号码遭到泄露。

截至本文撰写之时，该公司尚未透露总共受影响的个人数量。

关注我的推特：@securityaffairs 以及脸书和Mastodon 

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友入圈沟通交流。

免费知识星球，不定期提供网上资源，也作为与粉丝的沟通桥梁。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：惠普企业遭俄罗斯关联黑客攻击，个人信息泄露事件曝光