No início de 2024, a Microsoft se viu vítima de um grande roubo de e-mails corporativos. A suspeita é que o ataque tenha sido executado pelo grupo russo chamado Midnight Blizzard. Esse ataque, detectado pela Microsoft em 12 de janeiro, levou a empresa a alertar o ocorrido por meio de seus canais oficiais.
Em agosto de 2023, a Microsoft já havia sido vítima de um ataque direcionado pelo grupo. De acordo com um comunicado oficial da empresa na época, os hackers usaram locatários do Microsoft 365 anteriormente comprometidos, de propriedade de pequenas empresas, para criar novos domínios que aparecem com unidades de suporte técnico legítimas.
Usando esses domínios, a Midnight Blizzard aproveitava as mensagens do Teams para enviar iscas que tentam roubar credenciais de uma organização alvo, ludibriando a vítima e obtendo a aprovação de prompts de autenticação multifator (MFA).
Agora, a empresa se vê novamente alvo de uma operação contra seus produtos, dessa vez focado em roubo de e-mails corporativos. De acordo com as informações da organização, o grupo teria conseguido acesso aos sistemas ainda em novembro de 2023, o que demonstra que a Microsoft se tornou um alvo constante da Midnight Blizzard.
De acordo com a Microsoft, a Midnight Blizzard é consistente e persistente em sua segmentação operacional e seus objetivos raramente mudam. “As atividades de espionagem e coleta de informações da Midnight Blizzard alavancam uma variedade de acesso inicial, movimento lateral e técnicas de persistência para coletar informações em apoio aos interesses da política externa russa”, afirma o comunicado.
Nesse novo ataque, o grupo teria aproveitado uma credencial descontinuada para ganhar uma posição dentro do sistema corporativo da empresa. A técnica utilizada foi a de pulverização de senha, onde o hacker tenta entrar em um grande volume de contas usando um pequeno subconjunto das senhas mais populares ou mais prováveis.
Pelo fato dessa credencial ser usada para testes, e não ter verificação de dois fatores, ela se tornou uma porta de entrada para os hackers, facilitando o roubo de e-mails.
A partir desse ponto, a Microsoft descreve passo a passo o que os hackers fizeram uma vez que tiveram acesso à credencial comprometida:
“A Midnight Blizzard aproveitou seu acesso inicial para identificar e comprometer um aplicativo OAuth de teste legado que tinha acesso elevado ao ambiente corporativo da empresa e criou aplicativos OAuth maliciosos adicionais. Eles criaram uma nova conta de usuário para conceder consentimento no ambiente corporativo da Microsoft aos aplicativos OAuth maliciosos controlados pelos hackers. Eles, então, usaram o aplicativo OAuth de teste herdado para conceder a função full_access_as_app do Office 365 Exchange Online , que permite acesso a caixas de correio”.
Ainda de acordo com o relatório, a Midnight Blizzard teria usado as permissões de usuário para acessar uma porcentagem muito pequena de contas de e-mail corporativas da Microsoft, incluindo de membros da equipe de liderança sênior e funcionários em funções de segurança cibernética, jurídica e outras.
A investigação da Microsoft indica que eles inicialmente visavam contas de e-mail para obter informações relacionadas à própria Midnight Blizzard, e que os funcionários que tiveram contas acessadas já foram informados da situação.
A gigante da tecnologia afirma que o ataque não foi resultado de uma vulnerabilidade em produtos ou serviços da empresa. “Não há evidências de que o autor da ameaça tenha tido acesso aos ambientes dos clientes, aos sistemas de produção, ao código-fonte ou aos sistemas de IA. Notificaremos os clientes se alguma ação for necessária”, complementou a organização.
Por fim, a Microsoft garante que suas ações de segurança, ancoradas por meio da Iniciativa para o Futuro Seguro, devem se tornar ainda mais fortes e com uma ação cada vez mais rápida. “Agiremos imediatamente para aplicar os nossos padrões de segurança atuais aos sistemas legados e aos processos empresariais internos de propriedade da Microsoft, mesmo quando essas alterações possam causar perturbações nos processos empresariais existentes”, diz o comunicado.
Continue lendo o nosso blog!
Confira outros conteúdos desenvolvidos pela equipe da VNX Partners.
Gmail reforça bloqueio de e-mails inapropriados enviados em massa
Nos últimos anos, o Gmail tem implementado uma série de aprimoramentos em sua plataforma, visando
Roubo de e-mails: Microsoft explica invasão de seus sistemas
No início de 2024, a Microsoft se viu vítima de um grande roubo de e-mails
Ransomware: pagamentos de resgate registram queda recorde
O ransomware é considerado uma das maiores ameaças cibernéticas dos últimos anos, o que tem
Notificações push: apps utilizam recurso para coletar dados no iOS indevidamente
As notificações push podem ser usadas para coletar dados no iOS? De acordo com um
4 ameaças digitais que você precisa estar atento em 2024
Todos os dias passamos por situações que nos colocam na mira de possíveis ameaças digitais.
Trends das redes sociais: os perigos de compartilhar seus dados
Todos os meses pelo menos um novo formato viral toma conta do seu feed, principalmente