Хакерське угрупування, спонсороване російським урядом, ідентифіковане Microsoft Threat Intelligence як Midnight Blizzard (APT29, NOBELIUM, Cozy Bear, UAC-0029, UAC-0004) ексфільтрувало листування електронної пошти між федеральними цивільними виконавчими органами (Federal Civilian Executive Branch) та компанією Microsoft через успішну компрометацію корпоративних електронних поштових облікових записів Microsoft.
Компанія Microsoft розкрила деталі інциденту після кількох успішних атак, що почалися у січні 2024 року.
Отримання початкового доступу.
Згідно з внутрішнім дослідженням компанії Microsoft, починаючи з кінця листопада 2023 року, хакери використовували атаку методом перебору паролів (password spray attack) для злому старого тестового облікового запису, який належав до системи, яка не використовувалась для роботи з виробничими середовищами (тенат), та на якому не було встановлено багатофакторної аутентифікації (MFA). Такий тип атаки, як password spray attack, дозволяє зловмисникам з високою ймовірністю увійти до великої кількості облікових записів, використовуючи обмежений набір найпопулярніших або найбільш ймовірних паролів, щоб уникнути виявлення та блокування облікових записів на основі обсягу невдалих спроб. Крім цього зловмисники ще більше знизили імовірність виявлення, запускаючи ці атаки з розподіленої інфраструктури проксі-сервера. Ці методи ухилення допомогли актору замаскувати свою діяльність і продовжувати атаку протягом певного часу до досягнення успіху.
За даними Microsoft Threat Intelligence, Midnight Blizzard збільшив обсяг деяких аспектів кампанії вторгнення, таких атак як password spray attack, в 10 разів у лютому 2024 порівняно з вже великим обсягом, побаченим у січні 2024 року.
Використання OAuth.
Після чого Midnight Blizzard скомпрометував облікові записи користувачів, щоб створити, змінити та надати високі дозволи додаткам OAuth, які, надалі, використовувались для приховання зловмисної діяльності.
Це дозволяло підтримувати доступ до додатків, навіть якщо зловмисники втратили б доступ до скомпрометованого облікового запису. Midnight Blizzard використовував свій початковий доступ для визначення та компрометації старого тестового додатка OAuth, який мав підвищений доступ до корпоративного середовища Microsoft. Далі зловмисники створили додаткові зловмисні додатки OAuth та новий обліковий запис користувача для надання згоди в корпоративному середовищі Microsoft для зловмисних додатків, котрими керували зловмисники. Midnight Blizzard використовували старий тестовий додаток OAuth, щоб отримати роль повного доступу до Exchange Online Office 365, яка дозволяє доступ до поштових скриньок.
Збір через обмін вебслужб Exchange.
Midnight Blizzard використовував додатки OAuth для аутентифікації в Microsoft Exchange Online та спрямування на корпоративні поштові скриньки Microsoft.
У рамках багаторазових спроб приховати джерело своєї атаки, Midnight Blizzard використовували резидентні проксі-мережі, маршрутизуючи свій трафік через велику кількість IP-адрес, які також використовуються легітимними користувачами, для взаємодії спочатку зі скомпрометованим тенатом, а потім з Exchange Online. Хоча це не нова техніка, проте використання Midnight Blizzard резидентних проксі для уникнення робить традиційне виявлення на основі індикаторів компрометації (IoCs) неможливим через високий рівень зміни IP-адрес.
Компанія Microsoft зазначила, що ексфільтрація не була результатом вразливості продуктів або послуг Microsoft та повідомила, що наразі немає доказів, що хакерське угрупування отримало чи має доступ до середовищ клієнта, виробничих систем, вихідного коду або систем штучного інтелекту.
Про Midnight Blizzard.
Midnight Blizzard (APT29, NOBELIUM, Cozy Bear, UAC-0029, UAC-0004) - хакерське угрупування, атрибутоване до служби зовнішньої розвідки росії (СВР), яке діє принаймні з 2008 року, часто націлюючись на урядові мережі в Європі та країнах-членах НАТО, дослідницькі інститути та аналітичні центри.
Згідно з MITRE ENGENUITY, хід їх операцій мають два різні, проте швидко взаємозамінні сценарії в залежності від обраної цілі:
Сценарій 1. Починається з місії “знищити й захопити” (“smash-and-grab”), яка потім перетворюється на швидку шпигунську місію, яка зосереджується на зборі та викраденні даних, а потім переходить до більш прихованих методів для досягнення стійкості, подальшого збору даних, доступу до облікових даних і бокового переміщення. Сценарій завершується виконанням раніше створених механізмів збереження.
Сценарій 2. Складається з більш прихованого та повільного підходу до компрометації початкової цілі, встановлення стійкості, збору облікових даних, а потім, компрометації всього домену. Сценарій завершується змодельованим проміжком часу, де виконуються раніше встановлені механізми збереження.