Gen 29, 2024 RSS
Il team di Microsoft Security ha notificato l’intensificarsi delle attività di Midnight Blizzard, un gruppo APT legato al governo russo. Il gruppo, conosciuto anche come NOBELIUM, aveva attaccato i sistemi Microsoft lo scorso 12 gennaio e sta colpendo altre organizzazioni.
Come spiega il team nel blog, il gruppo attacca principalmente governi, entità diplomatiche, organizzazioni non governative e provider di servizi IT in Europa e negli Stati Uniti. Midnight Blizzard sfrutta la compromissione degli account corporate e, in alcuni casi, tecniche avanzate per compromettere i meccanismi di autenticazione dell’organizzazione colpita.
“Midnight Blizzard è consistente e persistente nei suoi obiettivi, e i suoi target cambiano raramente” sottolinea il team di Microsoft. “Le attività di spionaggio e di raccolta di informazioni di Midnight Blizzard fanno leva su una serie di tecniche di accesso iniziale, movimento laterale e persistenza per raccogliere informazioni a sostegno degli interessi della politica estera russa”.
Tra i metodi d’accesso iniziali ci sono il furto di credenziali, gli attacchi alla supply chain, lo sfruttamento di ambienti on-premise per muoversi lateralmente nel cloud e lo sfruttamento della trust chain dei provider di servizi per accedere ai sistemi dei clienti finali. Il gruppo è anche conosciuto per abusare delle applicazioni OAuth per muoversi lateralmente tra gli ambienti ed eseguire attività di post-compromissione, tra le quali la raccolta delle email corporate.
Per ottenere l’accesso ai sistemi Microsoft il gruppo ha utilizzato il password spray, una tecnica che consiste nel cercare di accedere a un grande numero di account usando un sottoinsieme delle password più utilizzate. Nel caso dell’attacco a Microsoft, il gruppo ha colpito un numero ristretto di account e ha eseguito pochi tentativi di accesso per evadere i meccanismi di detection ed evitare il blocco degli account.
Per ridurre il rischio di essere individuato, il gruppo ha sfruttato anche un’infrastruttura di proxy residenziali, indirizzando il traffico di rete su indirizzi IP usati da utenti corporate legittimi per attaccare Exchange Online. L’uso dei proxy residenziali per offuscare le connessioni e il conseguente tasso elevato di cambiamento degli IP rende inutilizzabile la detection tradizionale basata sugli indicatori di compromissione.
Microsoft ha inoltre osservato un ampio uso di OAuth per nascondere le attività malevole. Il protocollo consente agli attaccanti di mantenere l’accesso alle applicazioni, anche se perdono l’accesso all’account compromesso. Midnight Blizzard ha sfruttato l’accesso iniziale per identificare e compromettere un’applicazione legacy OAuth che aveva elevati permessi di accesso all’ambiente aziendale; in seguito, ha creato nuove applicazioni OAuth e un nuovo account per mantenere l’accesso ai sistemi.
Microsoft ha identificato nuovi attacchi a numerose organizzazioni in tutto il mondo e le ha notificate del pericolo, condividendo una serie di indicazioni di sicurezza per identificare la compromissione e difendersi dagli attacchi.
“Considerato che i gruppi attuali dispongono di risorse adeguate e sono finanziati dai governi, stiamo spostando l’equilibrio che dobbiamo raggiungere tra sicurezza e rischio aziendale: il tipo di difesa tradizionale non è più sufficiente. Per Microsoft, questo incidente ha evidenziato l’urgente necessità di agire ancora più rapidamente“.