Microsoft ka publikuar një postim në blog kushtuar sigurisë kibernetike për të përshkruar teknikat e përdorura nga grupi Midnight Blizzard gjatë sulmit të zbuluar më 12 dhjetor 2023 dhe të zbuluar më 19 janar. Kompania Redmond ka dhënë gjithashtu disa sugjerime për t’iu përgjigjur në mënyrë proaktive këtyre kërcënimeve.
Detajet e sulmit me password spray
Kriminelët kibernetikë nga grupi Midnight Blizzard shfrytëzojnë disa teknika për aksesin fillestar, këmbënguljen dhe lëvizjen anësore. Për ndërhyrjen në sistemet e Microsoft-it, u krye një sulm me password spray, një lloj sulmi me forcë brutale që ju lejon të gjeni kredencialet e hyrjes për një llogari, duke përdorur fjalëkalime më të zakonshme.
Për të shmangur zbulimin, u bënë pak përpjekje për qasje. Kriminelët kibernetikë përdorën gjithashtu një infrastrukturë të shpërndarë të prokurave të banimit për të fshehur origjinën e sulmit. Trafiku u ridrejtua përmes adresave të shumta IP që u përkisnin përdoruesve legjitimë.
Pas kompromentimit të një llogarie testimi, e cila nuk ishte e mbrojtur nga vërtetimi me shumë faktorë, kriminelët kibernetikë shfrytëzuan një aplikacion OAuth me privilegje të larta për të hyrë në mjedisin Exchange Online dhe për rrjedhojë në emailet e kompanisë.
Microsoft identifikoi aktivitetet e grupit duke analizuar regjistrat e Exchange Web Services dhe identifikoi autorët, falë edhe njohurive të thella të modus operandi. Të njëjtët kriminelë kibernetikë shënjestruan organizata të tjera të cilat u njoftuan menjëherë. Ndoshta njëri prej tyre është Hewlett Packard Enterprise, por nuk ka asnjë konfirmim zyrtar.
Discussion about this post