Aggiornamenti recenti Novembre 11th, 2024 2:00 PM
Gen 29, 2024 Marina Londei Attacchi, In evidenza, News, RSS 0
Il team di Microsoft Security ha notificato l’intensificarsi delle attività di Midnight Blizzard, un gruppo APT legato al governo russo. Il gruppo, conosciuto anche come NOBELIUM, aveva attaccato i sistemi Microsoft lo scorso 12 gennaio e sta colpendo altre organizzazioni.
Come spiega il team nel blog, il gruppo attacca principalmente governi, entità diplomatiche, organizzazioni non governative e provider di servizi IT in Europa e negli Stati Uniti. Midnight Blizzard sfrutta la compromissione degli account corporate e, in alcuni casi, tecniche avanzate per compromettere i meccanismi di autenticazione dell’organizzazione colpita.
“Midnight Blizzard è consistente e persistente nei suoi obiettivi, e i suoi target cambiano raramente” sottolinea il team di Microsoft. “Le attività di spionaggio e di raccolta di informazioni di Midnight Blizzard fanno leva su una serie di tecniche di accesso iniziale, movimento laterale e persistenza per raccogliere informazioni a sostegno degli interessi della politica estera russa”.
Tra i metodi d’accesso iniziali ci sono il furto di credenziali, gli attacchi alla supply chain, lo sfruttamento di ambienti on-premise per muoversi lateralmente nel cloud e lo sfruttamento della trust chain dei provider di servizi per accedere ai sistemi dei clienti finali. Il gruppo è anche conosciuto per abusare delle applicazioni OAuth per muoversi lateralmente tra gli ambienti ed eseguire attività di post-compromissione, tra le quali la raccolta delle email corporate.
Per ottenere l’accesso ai sistemi Microsoft il gruppo ha utilizzato il password spray, una tecnica che consiste nel cercare di accedere a un grande numero di account usando un sottoinsieme delle password più utilizzate. Nel caso dell’attacco a Microsoft, il gruppo ha colpito un numero ristretto di account e ha eseguito pochi tentativi di accesso per evadere i meccanismi di detection ed evitare il blocco degli account.
Per ridurre il rischio di essere individuato, il gruppo ha sfruttato anche un’infrastruttura di proxy residenziali, indirizzando il traffico di rete su indirizzi IP usati da utenti corporate legittimi per attaccare Exchange Online. L’uso dei proxy residenziali per offuscare le connessioni e il conseguente tasso elevato di cambiamento degli IP rende inutilizzabile la detection tradizionale basata sugli indicatori di compromissione.
Microsoft ha inoltre osservato un ampio uso di OAuth per nascondere le attività malevole. Il protocollo consente agli attaccanti di mantenere l’accesso alle applicazioni, anche se perdono l’accesso all’account compromesso. Midnight Blizzard ha sfruttato l’accesso iniziale per identificare e compromettere un’applicazione legacy OAuth che aveva elevati permessi di accesso all’ambiente aziendale; in seguito, ha creato nuove applicazioni OAuth e un nuovo account per mantenere l’accesso ai sistemi.
Microsoft ha identificato nuovi attacchi a numerose organizzazioni in tutto il mondo e le ha notificate del pericolo, condividendo una serie di indicazioni di sicurezza per identificare la compromissione e difendersi dagli attacchi.
“Considerato che i gruppi attuali dispongono di risorse adeguate e sono finanziati dai governi, stiamo spostando l’equilibrio che dobbiamo raggiungere tra sicurezza e rischio aziendale: il tipo di difesa tradizionale non è più sufficiente. Per Microsoft, questo incidente ha evidenziato l’urgente necessità di agire ancora più rapidamente“.
Ott 10, 2024 0
Ott 08, 2024 0
Set 13, 2024 0
Ago 02, 2024 0
Nov 11, 2024 0
Nov 11, 2024 0
Nov 08, 2024 0
Nov 08, 2024 0
Nov 11, 2024 0
Kaspersky ha collaborato a Synergia II, operazione...Nov 07, 2024 0
L’attuale panorama delle minacce si presente sempre...Nov 05, 2024 0
I FortiGuard Labs di Fortinet hanno individuato attività...Nov 04, 2024 0
Era già successo durante le ultime elezioni e sta...Ott 31, 2024 0
Oltre 200 applicazioni dannose che contano più di 8...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 11, 2024 0
Kaspersky ha collaborato a Synergia II, operazione...Nov 11, 2024 0
Questa settimana, il CERT-AGID ha rilevato e analizzato...Nov 08, 2024 0
Il furto di credenziali è l’attacco hacker più diffuso...Nov 07, 2024 0
L’attuale panorama delle minacce si presente sempre...Nov 06, 2024 0
Niente sospensione per Piracy Shield nonostante i problemi...