Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
Gen 29, 2024 Marina Londei Attacchi, In evidenza, News, RSS 0
Il team di Microsoft Security ha notificato l’intensificarsi delle attività di Midnight Blizzard, un gruppo APT legato al governo russo. Il gruppo, conosciuto anche come NOBELIUM, aveva attaccato i sistemi Microsoft lo scorso 12 gennaio e sta colpendo altre organizzazioni.
Come spiega il team nel blog, il gruppo attacca principalmente governi, entità diplomatiche, organizzazioni non governative e provider di servizi IT in Europa e negli Stati Uniti. Midnight Blizzard sfrutta la compromissione degli account corporate e, in alcuni casi, tecniche avanzate per compromettere i meccanismi di autenticazione dell’organizzazione colpita.
“Midnight Blizzard è consistente e persistente nei suoi obiettivi, e i suoi target cambiano raramente” sottolinea il team di Microsoft. “Le attività di spionaggio e di raccolta di informazioni di Midnight Blizzard fanno leva su una serie di tecniche di accesso iniziale, movimento laterale e persistenza per raccogliere informazioni a sostegno degli interessi della politica estera russa”.
Tra i metodi d’accesso iniziali ci sono il furto di credenziali, gli attacchi alla supply chain, lo sfruttamento di ambienti on-premise per muoversi lateralmente nel cloud e lo sfruttamento della trust chain dei provider di servizi per accedere ai sistemi dei clienti finali. Il gruppo è anche conosciuto per abusare delle applicazioni OAuth per muoversi lateralmente tra gli ambienti ed eseguire attività di post-compromissione, tra le quali la raccolta delle email corporate.
Per ottenere l’accesso ai sistemi Microsoft il gruppo ha utilizzato il password spray, una tecnica che consiste nel cercare di accedere a un grande numero di account usando un sottoinsieme delle password più utilizzate. Nel caso dell’attacco a Microsoft, il gruppo ha colpito un numero ristretto di account e ha eseguito pochi tentativi di accesso per evadere i meccanismi di detection ed evitare il blocco degli account.
Per ridurre il rischio di essere individuato, il gruppo ha sfruttato anche un’infrastruttura di proxy residenziali, indirizzando il traffico di rete su indirizzi IP usati da utenti corporate legittimi per attaccare Exchange Online. L’uso dei proxy residenziali per offuscare le connessioni e il conseguente tasso elevato di cambiamento degli IP rende inutilizzabile la detection tradizionale basata sugli indicatori di compromissione.
Microsoft ha inoltre osservato un ampio uso di OAuth per nascondere le attività malevole. Il protocollo consente agli attaccanti di mantenere l’accesso alle applicazioni, anche se perdono l’accesso all’account compromesso. Midnight Blizzard ha sfruttato l’accesso iniziale per identificare e compromettere un’applicazione legacy OAuth che aveva elevati permessi di accesso all’ambiente aziendale; in seguito, ha creato nuove applicazioni OAuth e un nuovo account per mantenere l’accesso ai sistemi.
Microsoft ha identificato nuovi attacchi a numerose organizzazioni in tutto il mondo e le ha notificate del pericolo, condividendo una serie di indicazioni di sicurezza per identificare la compromissione e difendersi dagli attacchi.
“Considerato che i gruppi attuali dispongono di risorse adeguate e sono finanziati dai governi, stiamo spostando l’equilibrio che dobbiamo raggiungere tra sicurezza e rischio aziendale: il tipo di difesa tradizionale non è più sufficiente. Per Microsoft, questo incidente ha evidenziato l’urgente necessità di agire ancora più rapidamente“.
Nov 15, 2024 0
Nov 12, 2024 0
Ott 10, 2024 0
Ott 08, 2024 0
Nov 21, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 19, 2024 0
Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Nov 11, 2024 0
Kaspersky ha collaborato a Synergia II, operazione...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...Nov 18, 2024 0
István Márton, ricercatore di Wordfence, ha individuato...