Aggiornamenti recenti Maggio 8th, 2024 2:00 PM
Gen 29, 2024 Marina Londei Attacchi, In evidenza, News, RSS 0
Il team di Microsoft Security ha notificato l’intensificarsi delle attività di Midnight Blizzard, un gruppo APT legato al governo russo. Il gruppo, conosciuto anche come NOBELIUM, aveva attaccato i sistemi Microsoft lo scorso 12 gennaio e sta colpendo altre organizzazioni.
Come spiega il team nel blog, il gruppo attacca principalmente governi, entità diplomatiche, organizzazioni non governative e provider di servizi IT in Europa e negli Stati Uniti. Midnight Blizzard sfrutta la compromissione degli account corporate e, in alcuni casi, tecniche avanzate per compromettere i meccanismi di autenticazione dell’organizzazione colpita.
“Midnight Blizzard è consistente e persistente nei suoi obiettivi, e i suoi target cambiano raramente” sottolinea il team di Microsoft. “Le attività di spionaggio e di raccolta di informazioni di Midnight Blizzard fanno leva su una serie di tecniche di accesso iniziale, movimento laterale e persistenza per raccogliere informazioni a sostegno degli interessi della politica estera russa”.
Tra i metodi d’accesso iniziali ci sono il furto di credenziali, gli attacchi alla supply chain, lo sfruttamento di ambienti on-premise per muoversi lateralmente nel cloud e lo sfruttamento della trust chain dei provider di servizi per accedere ai sistemi dei clienti finali. Il gruppo è anche conosciuto per abusare delle applicazioni OAuth per muoversi lateralmente tra gli ambienti ed eseguire attività di post-compromissione, tra le quali la raccolta delle email corporate.
Per ottenere l’accesso ai sistemi Microsoft il gruppo ha utilizzato il password spray, una tecnica che consiste nel cercare di accedere a un grande numero di account usando un sottoinsieme delle password più utilizzate. Nel caso dell’attacco a Microsoft, il gruppo ha colpito un numero ristretto di account e ha eseguito pochi tentativi di accesso per evadere i meccanismi di detection ed evitare il blocco degli account.
Per ridurre il rischio di essere individuato, il gruppo ha sfruttato anche un’infrastruttura di proxy residenziali, indirizzando il traffico di rete su indirizzi IP usati da utenti corporate legittimi per attaccare Exchange Online. L’uso dei proxy residenziali per offuscare le connessioni e il conseguente tasso elevato di cambiamento degli IP rende inutilizzabile la detection tradizionale basata sugli indicatori di compromissione.
Microsoft ha inoltre osservato un ampio uso di OAuth per nascondere le attività malevole. Il protocollo consente agli attaccanti di mantenere l’accesso alle applicazioni, anche se perdono l’accesso all’account compromesso. Midnight Blizzard ha sfruttato l’accesso iniziale per identificare e compromettere un’applicazione legacy OAuth che aveva elevati permessi di accesso all’ambiente aziendale; in seguito, ha creato nuove applicazioni OAuth e un nuovo account per mantenere l’accesso ai sistemi.
Microsoft ha identificato nuovi attacchi a numerose organizzazioni in tutto il mondo e le ha notificate del pericolo, condividendo una serie di indicazioni di sicurezza per identificare la compromissione e difendersi dagli attacchi.
“Considerato che i gruppi attuali dispongono di risorse adeguate e sono finanziati dai governi, stiamo spostando l’equilibrio che dobbiamo raggiungere tra sicurezza e rischio aziendale: il tipo di difesa tradizionale non è più sufficiente. Per Microsoft, questo incidente ha evidenziato l’urgente necessità di agire ancora più rapidamente“.
Mag 08, 2024 0
Mag 07, 2024 0
Mag 02, 2024 0
Apr 30, 2024 0
Mag 08, 2024 0
Mag 07, 2024 0
Mag 06, 2024 0
Mag 06, 2024 0
Mag 08, 2024 0
Le aziende italiane continuano a essere uno degli obiettivi...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft: tra...Mag 06, 2024 0
Gli scanner di vulnerabilità, ovvero i software usati per...Mag 03, 2024 0
Sempre più spesso si discute delle crescenti capacità...Apr 29, 2024 0
Lo United States Postal Service (USPS), l’agenzia...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Mag 08, 2024 0
Le aziende italiane continuano a essere uno degli obiettivi...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 07, 2024 0
A fine aprile i ricercatori di Kandji, piattaforma perMag 07, 2024 0
Gli attacchi di phishing non si fermano e i marchi...Mag 06, 2024 0
Questa settimana, il CERT-AGID ha identificato e analizzato...