مایکروسافت در مورد وجود آخرین کمپین Storm-0558 توسط کسی جز وزارت خارجه ایالات متحده که ظاهراً توسط بازیگر تهدید چینی به ایمیلهای آن دسترسی پیدا کرده بود، مطلع شد.
در اوایل این هفته، گزارش شد که یک عامل تهدید چینی به بیش از دوجین حساب ایمیل متعلق به سازمانهای مختلف در غرب، از جمله شرکتهای دولتی، دسترسی پیدا کرده است. مایکروسافت این حمله را به Storm-0558، گروهی که به جاسوسی و سرقت اطلاعات معروف است، نسبت داد.
اکنون می دانیم که مایکروسافت تنها پس از به صدا درآمدن زنگ خطر توسط آژانس فدرال غیرنظامی (FCEB) و یک ماه پس از اینکه چینی ها به صندوق ورودی راه پیدا کردند و ظاهراً سرقت کردند، این نفوذ را کشف کرد.
سوء استفاده از دسترسی به وب Outlook در Exchange Online
«در ژوئن 2023، یک سازمان فدرال شعبه اجرایی غیرنظامی (FCEB) فعالیت مشکوکی را در محیط ابری مایکروسافت 365 (M365) شناسایی کرد. FBI) می گوید. مایکروسافت تشخیص داد که عوامل تهدید دائمی پیشرفته (APT) به دادههای طبقهبندی نشده Exchange Online Outlook دسترسی پیدا کرده و از آنها استخراج میکنند.
این شرکت تأیید کرد که این حمله با استفاده از توکنهای احراز هویت فراموشی انجام شده است که به عوامل تهدید اجازه میدهد با استفاده از کلید امضای مشتری حساب کاربری مایکروسافت به ایمیلها دسترسی داشته باشند.
مایکروسافت توضیح داد: «تحقیقات مایکروسافت نشان داد که Storm-0558 با استفاده از Outlook Web Access در Exchange Online (OWA) و Outlook.com با جعل توکنهای احراز هویت برای دسترسی به ایمیل کاربر، به حسابهای ایمیل مشتریان دسترسی پیدا کرده است.
این بازیگر از یک کلید MSA برای جعل توکن برای دسترسی به OWA و Outlook.com استفاده کرد. کلیدهای MSA (مصرف کننده) و کلیدهای Azure AD (تجاری) از سیستم های جداگانه صادر و مدیریت می شوند و فقط باید برای سیستم های مربوطه معتبر باشند. این بازیگر از یک مشکل اعتبارسنجی رمزی برای جعل هویت کاربران Azure AD و دسترسی به نامههای سازمانی استفاده کرد. ما هیچ نشانه ای مبنی بر استفاده از کلیدهای Azure AD یا هر کلید MSA دیگری توسط این بازیگر نداریم. OWA و Outlook.com تنها سرویسهایی هستند که در آن بازیگر را با استفاده از توکنهای جعلی با کلید MSA مشاهده کردهایم.
چین هر گونه تخلفی را رد کرد، اخبار هکرها گزارش های بیشتر، ورق زدن فیلمنامه در مورد ایالات متحده و نامیدن این کشور “بزرگترین امپراتوری هک جهان و دزد سایبری جهانی”. چینیها افزودند: «زمان رسیده است که ایالات متحده فعالیتهای حمله سایبری خود را توضیح دهد و از انتشار اطلاعات نادرست برای منحرف کردن توجه عمومی دست بردارد».
Storm-0558 ظاهراً از دو بدافزار به نامهای Bling و Cigril استفاده میکرد که دومی به عنوان یک تروجان توصیف میشد که قادر به رمزگشایی فایلهای رمزگذاریشده و اجرای مستقیم آنها از حافظه سیستم در نقطه پایانی هدف است.
از طریق: The Hacker News
آخرین دیدگاهها