去年 11 月,俄羅斯威脅組織「午夜暴雪(Midnight Blizzard)」訪問並竊取了微軟高階領導層電郵帳戶的數據。更早之前,Midnight Blizzard已經在HPE (Hewlett Packard Enterprise,慧與科技) 進行同樣攻擊。
根據HPE近日對美國上市櫃委員會遞交的文件顯示,Midnight Blizzard(也稱為Nobelium、Cozy Bear 和APT29)於2023 年5 月某個時候入侵HPE 的雲端託管電子郵件環境。攻擊者竊取了網路安全、行銷、業務和其他部門的少數人員帳戶資料。
HPE 表示,於 2023 年 12 月 12 日獲悉此次入侵,此後一直與外部網路安全專家合作,以確定攻擊的完整範圍和確切時間表。HPE 的文件表示,此事件可能與該威脅行為者的早期活動有關。HPE於2023 年6 月收到通知,涉及最早在2023 年5 月未經授權訪問和洩露有限數量的SharePoint 文件。
就在 HPE 向 SEC 提交文件的消息發布前幾天,微軟在近期一篇部落格文章中披露,它於 1 月 12 日檢測到Midnight Blizzard對內部企業系統的攻擊。微軟表示,調查顯示攻擊者很可能在2023 年11 月入侵了內部系統,並取得網路安全、法律和其他部門的高階領導和員工電子郵件帳戶及資料。
Midnight Blizzard 透過常見的密碼噴射攻擊來破壞舊的非生產性測試帳戶,取得了對 Microsoft 公司網路的初步存取權。然後,威脅參與者使用該帳戶的權限存取目標電子郵件帳戶。
相關文章: 微軟驚爆遭撞庫攻擊!攻擊者在內網漫遊近2個月
SolarWinds事件的主使者
這些攻擊讓 Midnight Blizzard 再次成為焦點,美國政府已將Midnight Blizzard 與俄羅斯對外情報局 (SVR) 正式認定有關連。2021 年 4 月,美國網路安全和基礎設施安全局(CISA)、聯邦調查局(FBI) 和國家安全局(NSA)認定,Midnight Blizzard滲透 SolarWinds的建置環境,並對多個用戶植入惡意軟體。SolarWinds 雖然於 2020 年 12 月公告此事件,但攻擊早在2019年1月已開始。
正如 CISA 在2023 年 12 月的建議指出,自 2018 年以來,尤其是在 SolarWinds 之後,Midnight Blizzard一直專注於供應鏈攻擊。它的許多活動都採用 CISA 所描述的「低而慢」的密碼噴射以及利用某些廣泛使用產品的漏洞進行攻擊。
Midnight Blizzard經常利用的一些漏洞包括 Fortinet 設備中的 CVE-2018-13379;Zimbra 中的 CVE-2019-9670、Pulse Secure VPN 中的 CVE-2019-11510、Citrix 中的 CVE-2019-1978 以及影響 VMware 的 CVE-2020-4006。
JetBrains TeamCity 漏洞
在 12 月的通報中,CISA 將JetBrains TeamCity中的身份驗證繞過漏洞CVE-2023-42793添加到KEV漏洞目錄中。CISA 警告,威脅行為者存取 TeamCity 伺服器將獲得原始程式碼、簽章憑證以及篡改軟體編譯和部署流程的能力。公告指出,利用 CVE-2023-42793允許威脅行為者危害數十個軟體開發人員的網路。
TeamCity 是由 JetBrains 開發的一套 Java-Based 持續整合與管理的伺服器,能協助開發人員依據專案特性,從開發、編譯、整合、測試到發佈軟體等流程,建構一套專屬的 DevOps。
截至 CISA 通報之時,Midnight Blizzard 尚未使用 TeamCity 漏洞來發動類似 SolarWinds 的攻擊。但 CISA 警告稱,威脅行為者正在利用CVE-2023-42793提升權限、橫向移動、部署額外的有效負載並建立持久性。
安全研究人員認為目前Midnight Blizzard很可能正在執行資訊收集任務,以掌握HPE安全專家和微軟資料庫中與俄羅斯支持的攻擊組織和整個俄羅斯網路攻擊活動的相關資訊。
本文轉載自Dark Reading。