Aggiornamenti recenti Novembre 21st, 2024 2:11 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
- Le falle di sicurezza nei toolkit ML più diffusi
Microsoft individua nuove attività del gruppo APT Midnight Blizzard
Il team di Microsoft Security ha notificato l’intensificarsi delle attività di Midnight Blizzard, un gruppo APT legato al governo russo. Il gruppo, conosciuto anche come NOBELIUM, aveva attaccato i sistemi Microsoft lo scorso 12 gennaio e sta colpendo altre organizzazioni.
Come spiega il team nel blog, il gruppo attacca principalmente governi, entità diplomatiche, organizzazioni non governative e provider di servizi IT in Europa e negli Stati Uniti. Midnight Blizzard sfrutta la compromissione degli account corporate e, in alcuni casi, tecniche avanzate per compromettere i meccanismi di autenticazione dell’organizzazione colpita.
“Midnight Blizzard è consistente e persistente nei suoi obiettivi, e i suoi target cambiano raramente” sottolinea il team di Microsoft. “Le attività di spionaggio e di raccolta di informazioni di Midnight Blizzard fanno leva su una serie di tecniche di accesso iniziale, movimento laterale e persistenza per raccogliere informazioni a sostegno degli interessi della politica estera russa”.
Tra i metodi d’accesso iniziali ci sono il furto di credenziali, gli attacchi alla supply chain, lo sfruttamento di ambienti on-premise per muoversi lateralmente nel cloud e lo sfruttamento della trust chain dei provider di servizi per accedere ai sistemi dei clienti finali. Il gruppo è anche conosciuto per abusare delle applicazioni OAuth per muoversi lateralmente tra gli ambienti ed eseguire attività di post-compromissione, tra le quali la raccolta delle email corporate.
Pixabay
L’attacco di Midnight Blizzard a Microsoft
Per ottenere l’accesso ai sistemi Microsoft il gruppo ha utilizzato il password spray, una tecnica che consiste nel cercare di accedere a un grande numero di account usando un sottoinsieme delle password più utilizzate. Nel caso dell’attacco a Microsoft, il gruppo ha colpito un numero ristretto di account e ha eseguito pochi tentativi di accesso per evadere i meccanismi di detection ed evitare il blocco degli account.
Per ridurre il rischio di essere individuato, il gruppo ha sfruttato anche un’infrastruttura di proxy residenziali, indirizzando il traffico di rete su indirizzi IP usati da utenti corporate legittimi per attaccare Exchange Online. L’uso dei proxy residenziali per offuscare le connessioni e il conseguente tasso elevato di cambiamento degli IP rende inutilizzabile la detection tradizionale basata sugli indicatori di compromissione.
Microsoft ha inoltre osservato un ampio uso di OAuth per nascondere le attività malevole. Il protocollo consente agli attaccanti di mantenere l’accesso alle applicazioni, anche se perdono l’accesso all’account compromesso. Midnight Blizzard ha sfruttato l’accesso iniziale per identificare e compromettere un’applicazione legacy OAuth che aveva elevati permessi di accesso all’ambiente aziendale; in seguito, ha creato nuove applicazioni OAuth e un nuovo account per mantenere l’accesso ai sistemi.
Microsoft ha identificato nuovi attacchi a numerose organizzazioni in tutto il mondo e le ha notificate del pericolo, condividendo una serie di indicazioni di sicurezza per identificare la compromissione e difendersi dagli attacchi.
“Considerato che i gruppi attuali dispongono di risorse adeguate e sono finanziati dai governi, stiamo spostando l’equilibrio che dobbiamo raggiungere tra sicurezza e rischio aziendale: il tipo di difesa tradizionale non è più sufficiente. Per Microsoft, questo incidente ha evidenziato l’urgente necessità di agire ancora più rapidamente“.
Condividi l'articolo
Per gli italiani i social network sono un rischio per la sicurezza
CERT-AGID 20-26 gennaio: ancora le banche al centro degli attacchi di phishing
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato... -
Le falle di sicurezza nei toolkit ML più diffusi La sicurezza dei toolkit ML continua a essere minacciata...
Ransomware: la serie
No posts found.
