Хакеры пытались добраться до клиентов компании на облаке.
Microsoft Для просмотра ссылки Войдиили Зарегистрируйся об успешном отражении кибератаки, организованной правительственными хакерами из Китая, направленной против 25 организаций, включая правительственные агентства, в рамках кибершпионской кампании с целью получения конфиденциальных данных.
Атаки начались 15 мая 2023 года и предполагали получение доступа к почтовым аккаунтам, затрагивая 25 организаций и небольшое количество индивидуальных пользовательских аккаунтов.
Microsoft связывает атаки с группировкой Storm-0558, описывая её как APT -группу, базирующуюся в Китае и спонсируемой китайским правительством. По данным экспертов, группа в основном нацеливается на федеральные агентства Западной Европы с целью шпионажа, кражи данных и получения учетных данных. Известно, что хакеры Storm-0558 используют специально созданные вредоносные программы, которые Microsoft отслеживает под названиями Cigril и Bling, для получения учетных данных.
Обнаружение нарушения произошло спустя месяц, 16 июня 2023 года, после того как один из клиентов сообщил о подозрительной активности в почтовых аккаунтах Microsoft. Компания уведомила все затронутые организации и агентства через их администраторов. При этом не были раскрыты названия затронутых организаций и агентств, а также количество взломанных аккаунтов.
Доступ к аккаунтам клиентов был осуществлен через Outlook Web Access в Exchange Online (OWA) и Outlook.com путем подделки авторизационных токенов (OAuth-токен).
Злоумышленник использовал приобретенный MSA-ключ (Managed Service Accounts, управляемые учетные записи) для подделки токенов и получения доступа к OWA и Outlook.com. MSA-ключи (потребительские) и Azure AD (предприятия) выдаются и управляются из разных систем и должны быть действительными только для соответствующих систем.
Атакующая сторона эксплуатировала уязвимость в проверке токенов для подмены пользователей Azure AD и получения доступа к почте целевой организации.
На данный момент нет доказательств использования ключей Azure AD или других MSA-ключей для осуществления атак. Однако Microsoft заблокировала использование токенов, подписанных приобретенным ключом MSA в OWA, чтобы снизить угрозу.
Напомним, что администрация Байдена планирует о Для просмотра ссылки Войдиили Зарегистрируйся . Предлагаемое ограничение рассматривается как способ закрыть значительную лазейку. Аналитики национальной безопасности предупреждают, что китайские компании, занимающиеся искусственным интеллектом, могли обойти действующие правила экспортного контроля, используя облачные сервисы.
Кроме того, сегодня Microsoft сообщила о Для просмотра ссылки Войдиили Зарегистрируйся в нескольких продуктах Windows и Office, которая использовалась в дикой природе для удаленного выполнения кода (Remote Code Execution, RCE) с помощью вредоносных документов Office.
Microsoft Для просмотра ссылки Войди
Атаки начались 15 мая 2023 года и предполагали получение доступа к почтовым аккаунтам, затрагивая 25 организаций и небольшое количество индивидуальных пользовательских аккаунтов.
Microsoft связывает атаки с группировкой Storm-0558, описывая её как APT -группу, базирующуюся в Китае и спонсируемой китайским правительством. По данным экспертов, группа в основном нацеливается на федеральные агентства Западной Европы с целью шпионажа, кражи данных и получения учетных данных. Известно, что хакеры Storm-0558 используют специально созданные вредоносные программы, которые Microsoft отслеживает под названиями Cigril и Bling, для получения учетных данных.
Обнаружение нарушения произошло спустя месяц, 16 июня 2023 года, после того как один из клиентов сообщил о подозрительной активности в почтовых аккаунтах Microsoft. Компания уведомила все затронутые организации и агентства через их администраторов. При этом не были раскрыты названия затронутых организаций и агентств, а также количество взломанных аккаунтов.
Доступ к аккаунтам клиентов был осуществлен через Outlook Web Access в Exchange Online (OWA) и Outlook.com путем подделки авторизационных токенов (OAuth-токен).
Злоумышленник использовал приобретенный MSA-ключ (Managed Service Accounts, управляемые учетные записи) для подделки токенов и получения доступа к OWA и Outlook.com. MSA-ключи (потребительские) и Azure AD (предприятия) выдаются и управляются из разных систем и должны быть действительными только для соответствующих систем.
Атакующая сторона эксплуатировала уязвимость в проверке токенов для подмены пользователей Azure AD и получения доступа к почте целевой организации.
На данный момент нет доказательств использования ключей Azure AD или других MSA-ключей для осуществления атак. Однако Microsoft заблокировала использование токенов, подписанных приобретенным ключом MSA в OWA, чтобы снизить угрозу.
Напомним, что администрация Байдена планирует о Для просмотра ссылки Войди
Кроме того, сегодня Microsoft сообщила о Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru