pibitek.biz -Microsoft telah mengeluarkan peringatan bahwa pelaku ancaman yang didukung oleh Rusia, yang bertanggung jawab atas serangan cyber pada sistem mereka pada akhir November 2023. Kelompok peretas ini juga telah menargetkan organisasi lain dan saat ini mereka mulai memberi tahu korban yang baru. Serangan ini terjadi sehari setelah Hewlett Packard Enterprise (HPE) mengungkap bahwa mereka juga menjadi korban serangan yang dilakukan oleh kelompok peretas yang dikenal sebagai APT29, juga dikenal sebagai BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard (sebelumnya Nobelium), dan The Dukes.
2 – Risiko Gunakan Aplikasi Kencan dengan AI 2 – Risiko Gunakan Aplikasi Kencan dengan AI
3 – Anthropic Perbarui Model AI Generatif Claude 3 3 – Anthropic Perbarui Model AI Generatif Claude 3
Tim Intelijen Ancaman Microsoft menyatakan dalam sebuah peringatan baru bahwa pelaku ancaman ini terutama mengincar pemerintah, entitas diplomatik, organisasi non-pemerintah (NGO), dan penyedia layanan IT, terutama di Amerika Serikat dan Eropa. Tujuan utama dari misi mata-mata ini adalah untuk mengumpulkan informasi sensitif yang strategis bagi Rusia dengan mempertahankan posisi strategis untuk jangka waktu yang lama tanpa menarik perhatian. Pengumuman terbaru ini mengindikasikan bahwa skala kampanye ini mungkin lebih besar dari perkiraan sebelumnya.
Namun, perusahaan teknologi ini tidak mengumumkan entitas mana yang menjadi sasaran. Operasi APT29 melibatkan penggunaan akun yang sah namun dikompromikan untuk memperoleh dan memperluas akses dalam lingkungan sasaran dan beroperasi di bawah radar. Mereka juga dikenal mengidentifikasi dan menyalahgunakan aplikasi OAuth untuk bergerak secara lateral melintasi infrastruktur cloud dan untuk aktivitas pasca kompromi, seperti pengumpulan email.
"Mereka menggunakan berbagai metode akses awal mulai dari kredensial yang dicuri hingga serangan rantai pasokan, eksploitasi lingkungan lokal untuk berpindah ke cloud, dan eksploitasi kepercayaan penyedia layanan untuk mendapatkan akses ke pelanggan downstream", kata Microsoft. Taktik lain yang mencolok melibatkan penggunaan akun pengguna yang telah diretas untuk membuat, mengubah, dan memberikan izin tinggi kepada aplikasi OAuth yang dapat mereka salahgunakan untuk menyembunyikan aktivitas jahat. Hal ini memungkinkan pelaku ancaman untuk tetap mengakses aplikasi, bahkan jika mereka kehilangan akses ke akun awal yang dikompromikan, demikian dikatakan perusahaan tersebut.
Aplikasi OAuth yang jahat ini pada akhirnya digunakan untuk mengautentikasi ke Microsoft Exchange Online dan menargetkan akun email korporat Microsoft untuk mengambil data yang menarik bagi mereka. Dalam insiden yang menargetkan Microsoft pada November 2023, pelaku ancaman menggunakan serangan password spray untuk berhasil menyusup ke akun pengujian yang tidak memiliki otentikasi multi-faktor (MFA). "Dalam aktivitas Midnight Blizzard yang diamati ini, pelaku menyesuaikan serangan password spray mereka pada sejumlah terbatas akun, menggunakan sedikit upaya untuk menghindari deteksi dan menghindari pemblokiran akun berdasarkan volume kegagalan", demikian dikatakan dalam pernyataan tersebut.
Para peretas kemudian memanfaatkan akses awal mereka untuk mengidentifikasi dan mengkompromikan aplikasi OAuth pengujian yang sudah usang namun memiliki akses tinggi ke lingkungan korporat Microsoft, menggunakannya untuk membuat aplikasi OAuth jahat tambahan dan memberikan peran Office 365 Exchange Online full_access_as_app kepada aplikasi tersebut untuk mendapatkan akses ke kotak surat. Serangan-serangan semacam ini dirilis dari infrastruktur proxy residensial terdistribusi untuk menyembunyikan asal mereka, memungkinkan pelaku ancaman untuk berinteraksi dengan tenant yang terkompromi dan dengan Exchange Online melalui jaringan IP yang luas yang juga digunakan oleh pengguna sah.
