美國一個未透露單位的聯邦民事行政部門 (FCEB) 機構於 2023 年 6 月中旬檢測到異常電子郵件活動。從這些異常行為中,微軟(Microsoft) 發現了一項由中國支持的駭客組織針對美國二十多個組織單位的網路間諜活動。
詳細資訊來自美國網路安全和基礎設施安全局(CISA)和聯邦調查局(FBI)於2023年7月12日發布的聯合網路安全公告。公告中表示,2023 年 6 月, 受害機構在所屬的 Microsoft 365 (M365) 雲端環境中發現了可疑異常活動。而微軟則確認了這個可疑行為是APT攻擊並竊取了非機密性 Exchange Online Outlook 的數據資料。
美國有線電視新聞網(CNN)和《華盛頓郵報》引據知情人士表示,受害機構是美國國務院。此外,美國商務部以及國會工作人員、美國人權倡導者和美國智囊團的電子郵件帳戶也成為攻擊目標。美國受影響的組織數量估計只有個位數。
微軟將這次的攻擊行動歸咎於名為 Storm-0558 的新興「中國威脅行為者」。Storm-0558主要針對西歐政府機構,進行間諜活動、資料盜竊和憑證存取。微軟表示,Storm-0558常利用Microsoft 追踪為 Cigril 和 Bling 的自定義惡意軟體來進行憑證存取。Cigril被描述為一種特洛伊木馬,可以解密加密文件並直接從系統內存運行它們以避免檢測。到目前為止收集的證據表明,這次的惡意活動在被發現之前一個月就開始了。
中國否認此項攻擊行為的主使者指控,並回擊美國是「世界上最大的駭客帝國和全球網路竊賊」。中國表示,「現在是美國解釋網路攻擊活動並停止散佈虛假資訊以轉移公眾注意力的時候了。」
這次的攻擊鏈利用偽造的身份驗證令牌 (Token)來進入Exchange Online (OWA) 和 Outlook.com 中的 Outlook Web Access 取得對客戶電子郵件帳戶的訪問權限。這些令牌是使用竊取的Microsoft 帳戶使用者簽名密鑰 (MSA consumer signing key) 偽造的。目前確切方法仍不清楚。
微軟進一步解釋,MSA密鑰和 Azure AD(企業)密鑰是從個別的系統發行和管理的,應該僅對各自的系統有效。現在沒有證據表明威脅行為者使用 Azure AD 密鑰或任何其他 MSA 密鑰來執行攻擊。目前微軟已阻止在 OWA 中使用獲取的 MSA 密鑰簽名的令牌來減緩攻擊。
CISA 表示,FCEB 機構能夠通過利用 Microsoft Purview Audit 中的增強日誌記錄功能(特別是使用MailItemsAccessed郵箱審核操作)來識別違規行為。
該機構進一步建議組織啟用 Purview Audit (Premium) 日誌記錄,打開 Microsoft 365 統一審核日誌記錄 ( UAL ),並確保操作員可以搜索日誌,以允許搜索此類活動並將其與環境中的可預期行為區分開來。
CISA 和 FBI 建議組織單位盡快找出異常行為或流量,以防止攻擊。
一個多月前,微軟也曝光了一個名為
Volt Typhoon(又名 Bronze Silhouette 或 Vanguard Panda)的中國駭客組織對美國發起的關鍵基礎設施攻擊。
本文轉載自TheHackerNews。