午夜暴雪(Midnight Blizzard,又名APT29)是一個與俄羅斯國外情資單位(SVR)有關的駭客組織,他們利用從微軟公司的電子郵件系統中竊取的資訊,侵入微軟的原始碼儲存庫和內部系統。
今年1月時,微軟披露午夜暴雪使用密碼噴灑的方式進入一個舊版非生產測試租戶帳戶,並利用該帳戶訪問了高階管理、資安及法律部門員工的公司電子郵件帳戶。
相關文章:微軟驚爆遭撞庫攻擊!攻擊者在內網漫遊近2個月
微軟表示午夜暴雪攻擊到目前為止仍在持續中。午夜暴雪可能正在利用盜取的資訊累積攻擊目標,並增強其攻擊能力。其中一些機密是客戶和微軟在電子郵件中共享的,目前微軟正協助客戶採取緩解措施。
不過,微軟仍然堅持,託管客戶的系統並未被午夜暴雪入侵。
最近由五眼聯盟發布的聯合網路安全公告中顯示,午夜暴雪正在修改攻擊戰術以取得最初進入權限,步驟如下:
暴力破解和密碼噴灑目標組織的服務帳戶和前員工帳戶
⬇︎
竊取驗證令牌
⬇︎
多重驗證轟炸(MFA bombing)
IBM的X-Force團隊也注意到,網路犯罪分子越來越傾向利用有效帳戶作為進入受害者環境的途徑。他們透過網路釣魚、Kerberoasting或利用資訊竊取程式獲取所需的憑證。
微軟表示,午夜暴雪繼續並已增加了其密碼噴灑的力度,2月份比1月份增加了10倍之多。
本文轉載自Helpnetsecurity。