Microsoft hôm thứ Năm cho biết các tác nhân đe dọa do nhà nước Nga bảo trợ chịu trách nhiệm về một cuộc tấn công mạng vào hệ thống của họ vào cuối tháng 11/2023 đã nhắm mục tiêu vào các tổ chức khác và hiện đang bắt đầu thông báo cho họ.
Sự phát triển này diễn ra một ngày sau khi Hewlett Packard Enterprise (HPE) tiết lộ rằng họ là nạn nhân của một cuộc tấn công do một nhóm hack theo dõi là APT29, còn được gọi là BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard (trước đây là Nobelium) và The Dukes.
"Tác nhân đe dọa này được biết là chủ yếu nhắm vào các chính phủ, các tổ chức ngoại giao, các tổ chức phi chính phủ (NGO) và các nhà cung cấp dịch vụ CNTT, chủ yếu ở Mỹ và châu Âu", nhóm Microsoft Threat Intelligence cho biết trong một tư vấn mới.
Mục tiêu chính của các nhiệm vụ gián điệp này là thu thập thông tin nhạy cảm có lợi ích chiến lược đối với Nga bằng cách duy trì chỗ đứng trong thời gian dài mà không thu hút bất kỳ sự chú ý nào.
Tiết lộ mới nhất chỉ ra rằng quy mô của chiến dịch có thể lớn hơn so với suy nghĩ trước đây. Tuy nhiên, gã khổng lồ công nghệ không tiết lộ những thực thể nào khác được chọn ra.
Các hoạt động của APT29 liên quan đến việc sử dụng các tài khoản hợp pháp nhưng bị xâm phạm để giành và mở rộng quyền truy cập trong môi trường mục tiêu và bay dưới radar. Nó cũng được biết là xác định và lạm dụng các ứng dụng OAuth để di chuyển ngang qua cơ sở hạ tầng đám mây và cho hoạt động sau thỏa hiệp, chẳng hạn như thu thập email.
"Họ sử dụng các phương pháp truy cập ban đầu đa dạng, từ thông tin đăng nhập bị đánh cắp đến các cuộc tấn công chuỗi cung ứng, khai thác môi trường tại chỗ để chuyển sang đám mây và khai thác chuỗi tin cậy của các nhà cung cấp dịch vụ để có quyền truy cập vào khách hàng hạ nguồn", Microsoft lưu ý.
Một chiến thuật đáng chú ý khác đòi hỏi phải sử dụng các tài khoản người dùng bị vi phạm để tạo, sửa đổi và cấp quyền cao cho các ứng dụng OAuth mà chúng có thể lạm dụng để ẩn hoạt động độc hại. Điều này cho phép các tác nhân đe dọa duy trì quyền truy cập vào các ứng dụng, ngay cả khi họ mất quyền truy cập vào tài khoản bị xâm nhập ban đầu, công ty chỉ ra.
Các ứng dụng OAuth độc hại này cuối cùng được sử dụng để xác thực với Microsoft Exchange Online và nhắm mục tiêu các tài khoản email công ty của Microsoft để trích xuất dữ liệu quan tâm.
Trong sự cố nhắm vào Microsoft vào tháng 11/2023, tác nhân đe dọa đã sử dụng một cuộc tấn công lần dò mật khẩu để xâm nhập thành công vào tài khoản đối tượng thuê thử nghiệm cũ, phi sản xuất không bật xác thực đa yếu tố (MFA).
Các cuộc tấn công như vậy được khởi chạy từ cơ sở hạ tầng proxy khu dân cư phân tán để che giấu nguồn gốc của chúng, cho phép tác nhân đe dọa tương tác với đối tượng thuê bị xâm nhập và với Exchange Online thông qua một mạng lưới địa chỉ IP rộng lớn cũng được sử dụng bởi người dùng hợp pháp.
"Việc Midnight Blizzard sử dụng proxy dân cư để làm xáo trộn các kết nối làm cho các chỉ số phát hiện dựa trên thỏa hiệp (IoC) truyền thống không khả thi do tỷ lệ chuyển đổi địa chỉ IP cao", Redmond nói, đòi hỏi các tổ chức phải thực hiện các bước để bảo vệ chống lại các ứng dụng OAuth giả mạo và phun mật khẩu.