No início de 2024, a Microsoft se viu vítima de um grande roubo de e-mails corporativos. A suspeita é que o ataque tenha sido executado pelo grupo russo chamado Midnight Blizzard. Esse ataque, detectado pela Microsoft em 12 de janeiro, levou a empresa a alertar o ocorrido por meio de seus canais oficiais.
Em agosto de 2023, a Microsoft já havia sido vítima de um ataque direcionado pelo grupo. De acordo com um comunicado oficial da empresa na época, os hackers usaram locatários do Microsoft 365 anteriormente comprometidos, de propriedade de pequenas empresas, para criar novos domínios que aparecem com unidades de suporte técnico legítimas.
Usando esses domínios, a Midnight Blizzard aproveitava as mensagens do Teams para enviar iscas que tentam roubar credenciais de uma organização alvo, ludibriando a vítima e obtendo a aprovação de prompts de autenticação multifator (MFA).
Agora, a empresa se vê novamente alvo de uma operação contra seus produtos, dessa vez focado em roubo de e-mails corporativos. De acordo com as informações da organização, o grupo teria conseguido acesso aos sistemas ainda em novembro de 2023, o que demonstra que a Microsoft se tornou um alvo constante da Midnight Blizzard.
De acordo com a Microsoft, a Midnight Blizzard é consistente e persistente em sua segmentação operacional e seus objetivos raramente mudam. “As atividades de espionagem e coleta de informações da Midnight Blizzard alavancam uma variedade de acesso inicial, movimento lateral e técnicas de persistência para coletar informações em apoio aos interesses da política externa russa”, afirma o comunicado.
Nesse novo ataque, o grupo teria aproveitado uma credencial descontinuada para ganhar uma posição dentro do sistema corporativo da empresa. A técnica utilizada foi a de pulverização de senha, onde o hacker tenta entrar em um grande volume de contas usando um pequeno subconjunto das senhas mais populares ou mais prováveis.
Pelo fato dessa credencial ser usada para testes, e não ter verificação de dois fatores, ela se tornou uma porta de entrada para os hackers, facilitando o roubo de e-mails.
A partir desse ponto, a Microsoft descreve passo a passo o que os hackers fizeram uma vez que tiveram acesso à credencial comprometida:
“A Midnight Blizzard aproveitou seu acesso inicial para identificar e comprometer um aplicativo OAuth de teste legado que tinha acesso elevado ao ambiente corporativo da empresa e criou aplicativos OAuth maliciosos adicionais. Eles criaram uma nova conta de usuário para conceder consentimento no ambiente corporativo da Microsoft aos aplicativos OAuth maliciosos controlados pelos hackers. Eles, então, usaram o aplicativo OAuth de teste herdado para conceder a função full_access_as_app do Office 365 Exchange Online , que permite acesso a caixas de correio”.
Ainda de acordo com o relatório, a Midnight Blizzard teria usado as permissões de usuário para acessar uma porcentagem muito pequena de contas de e-mail corporativas da Microsoft, incluindo de membros da equipe de liderança sênior e funcionários em funções de segurança cibernética, jurídica e outras.
A investigação da Microsoft indica que eles inicialmente visavam contas de e-mail para obter informações relacionadas à própria Midnight Blizzard, e que os funcionários que tiveram contas acessadas já foram informados da situação.
A gigante da tecnologia afirma que o ataque não foi resultado de uma vulnerabilidade em produtos ou serviços da empresa. “Não há evidências de que o autor da ameaça tenha tido acesso aos ambientes dos clientes, aos sistemas de produção, ao código-fonte ou aos sistemas de IA. Notificaremos os clientes se alguma ação for necessária”, complementou a organização.
Por fim, a Microsoft garante que suas ações de segurança, ancoradas por meio da Iniciativa para o Futuro Seguro, devem se tornar ainda mais fortes e com uma ação cada vez mais rápida. “Agiremos imediatamente para aplicar os nossos padrões de segurança atuais aos sistemas legados e aos processos empresariais internos de propriedade da Microsoft, mesmo quando essas alterações possam causar perturbações nos processos empresariais existentes”, diz o comunicado.
Continue lendo o nosso blog!
Confira outros conteúdos desenvolvidos pela equipe da VNX Partners.
SentinelOne define o padrão nas avaliações MITRE ATT&CK® | 100% de detecção, zero atrasos e 88% menos ruído
Leia o artigo original publicado pela SentinelOne clicando aqui. Na área de cibersegurança, velocidade e
Vulnerabilidades digitais: tendências para ficar de olho
Começam a ser divulgados importantes relatórios sobre ameaças cibernéticas que mais impactaram o mercado até
Malwares para Linux: entenda a crescente onda de ameaças
O Linux é um dos sistemas operacionais mais utilizados no mundo. Por se tratar de
Linux: conheça a ferramenta de varredura antimalware gratuita
O Linux é um sistema operacional amplamente conhecido e utilizado, tendo como principal característica a
Backup: conheça os principais tipos e por que é importante
Ter um bom sistema de backup na sua organização é a garantia de preservação de
Conheça as soluções avançadas em cibersegurança da Fortinet
À medida que a tecnologia continua a evoluir e os ataques cibernéticos se tornam cada