Η Microsoft δήλωσε ότι οι Ρώσοι hackers Midnight Blizzard (γνωστοί και ως BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard, Nobelium και APT29), που είναι υπεύθυνοι για μια κυβερνοεπίθεση στα συστήματά της στα τέλη Νοεμβρίου 2023, στοχεύουν όλο και περισσότερους οργανισμούς. Η εταιρεία έχει αρχίσει να ειδοποιεί τους οργανισμούς για τις επιθέσεις.
Οι ισχυρισμοί της Microsoft επιβεβαιώνονται και από την επίθεση των hackers στην Hewlett Packard Enterprise (HPE).
“Αυτός ο παράγοντας απειλής είναι γνωστό ότι στοχεύει πρωτίστως κυβερνήσεις, διπλωματικές οντότητες, μη κυβερνητικούς οργανισμούς (ΜΚΟ) και παρόχους IT υπηρεσιών, κυρίως στις ΗΠΑ και την Ευρώπη”, ανέφερε η Microsoft.
Δείτε επίσης: Better Search Replace: Hackers στοχεύουν ευπάθεια στο WordPress plugin
Βασικός στόχος αυτών των επιθέσεων είναι η συλλογή ευαίσθητων πληροφοριών που έχουν στρατηγικό ενδιαφέρον για τη Ρωσία. Μάλιστα, οι hackers καταφέρνουν να παραμένουν απαρατήρητοι στα συστήματα των θυμάτων για μεγάλο διάστημα.
Η προειδοποίηση της Microsoft δείχνει ότι οι επιθέσεις είναι πιο πολλές από ό,τι πιστεύαμε προηγουμένως. Ωστόσο, η εταιρεία δεν αποκάλυψε ποιες άλλες οντότητες επηρεάστηκαν.
Οι επιθέσεις της Midnight Blizzard περιλαμβάνουν τη χρήση νόμιμων αλλά παραβιασμένων λογαριασμών για την απόκτηση και επέκταση της πρόσβασης σε ένα περιβάλλον-στόχο. Επίσης, η ομάδα αναγνωρίζει και κάνει κατάχρηση των εφαρμογών OAuth για πλευρική μετακίνηση σε υποδομές cloud και για συλλογή email.
“Χρησιμοποιούν ποικίλες μεθόδους αρχικής πρόσβασης που κυμαίνονται από κλεμμένα credentials έως supply chain επιθέσεις, εκμετάλλευση on-premises environments και εκμετάλλευση του trust chain των παρόχων υπηρεσιών για την απόκτηση πρόσβασης σε άλλους πελάτες“, σημείωσε η Microsoft.
Δείτε επίσης: Οι hackers TA866 επέστρεψαν με νέα κακόβουλη καμπάνια email
Επίσης, οι Ρώσοι hackers χρησιμοποιούν παραβιασμένους λογαριασμούς χρηστών για τη δημιουργία, τροποποίηση και παραχώρηση αδειών σε εφαρμογές OAuth, τις οποίες καταχρώνται για την απόκρυψη κακόβουλης δραστηριότητας. Η Microsoft λέει ότι αυτό επιτρέπει στους φορείς απειλών να διατηρήσουν την πρόσβαση σε εφαρμογές, ακόμη και αν χάσουν την πρόσβαση στον αρχικά παραβιασμένο λογαριασμό.
Αυτές οι κακόβουλες εφαρμογές OAuth χρησιμοποιούνται τελικά για τον έλεγχο ταυτότητας στο Microsoft Exchange Online και για τη στόχευση εταιρικών λογαριασμών Microsoft email για την εξαγωγή δεδομένων.
Οι οργανισμοί πρέπει να λάβουν κάποια μέτρα για την προστασία από επιθέσεις των Ρώσων hackers Midnight Blizzard. Καταρχάς, οι επιχειρήσεις θα πρέπει να εφαρμόσουν την αρχή της ελάχιστης πρόσβασης (PAM), περιορίζοντας την πρόσβαση σε σημαντικά συστήματα και δεδομένα μόνο στους χρήστες που την χρειάζονται πραγματικά.
Δείτε επίσης: Ιρανοί hackers στοχεύουν ερευνητές με custom malware
Επιπλέον, συνιστάται η ενίσχυση της ασφάλειας των λογαριασμών διαχειριστή με τη χρήση ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA), την εφαρμογή της αρχής της ελάχιστης διάρκειας και την απενεργοποίηση των λογαριασμών διαχειριστή όταν δεν χρησιμοποιούνται.
Τέλος, προτείνεται η τακτική ενημέρωση των εφαρμογών και των συστημάτων, για την αντιμετώπιση ευπαθειών και η χρήση λογισμικών ασφαλείας που προστατεύουν από κακόβουλα λογισμικά και άλλες απειλές.
Πηγή: thehackernews.com
