微软上周五坦承遭遇俄罗斯骇客APT29的攻击,2个月前骇客成功入侵其内部环境收集情报,直到一个礼拜前才被发现并予以阻止。
国家级骇客组织锁定该公司下手的情况,已非首例。半年前最近几年微软揭露不少针对旗下Microsoft 365的网路钓鱼攻击行动,骇客锁定该公司提供的电子邮件服务下手,但最近出现该公司内部的电子邮件信箱遭骇的情形。
1月19日微软证实,他们的安全团队在1月12日侦测到国家级骇客的攻击行动,这些骇客约从2023年11月下旬,透过密码喷溅攻击(password spray)的手法,破坏非生产环境、用于测试的租户帐号,从而于微软内部网路环境立足,并存取少部分的公司电子邮件信箱,这些帐号的所有者,包含了资深管理层的成员,以及负责资安及法律等业务的员工。部分电子邮件及其中挟带的文件,也遭到外流。
而对于攻击者的身分,该公司指出是俄罗斯骇客组织APT29(亦称Nobelium、Midnight Blizzard),对方的目的是透过电子邮件了解该公司调查该组织的情形。微软强调,这起攻击行动并非旗下产品或服务弱点造成,亦尚未发现攻击者能存取客户环境、生产系统、原始码、人工智慧系统的迹象。对于这起资安事故对营运造成的冲击,根据该公司向美国证券交易委员会(SEC)提交的8-K表单中指出,并未对公司营运产生重大影响。
资料来源
1.
骇客伪装成名人,其中包括知名媒体的记者发送看似无害的电子邮件,声称要征求收信人对于以哈冲突文章的看法,企图与目标人士建立信任关系,待时机成熟再伺机传送恶意内容。假如收信人同意阅读电子邮件引述的文章内容,对方便会接著佯称提供草稿档案的名义,寄送另一封含有恶意网域的信件,收信人若是依照指示操作,将会连到寄放RAR压缩档的网域下载档案,其内容含有伪装成PDF文件的Windows捷径档(LNK),启动后电脑将会执行curl指令,从攻击者控制的特定网域下载一系列恶意档案,当中有数个VBS指令码及命令列工具NirCmd。 在部分攻击行动里,这些骇客会在受害电脑植入MediaPl、MischiefTut等后门程式,其中,攻击者将MediaPl伪装影音播放程式Windows Media Player元件,并与Windows Photo看图程式互动,透过特定图档取得C2资讯,然后使用AES CBC加密、Base64演算法处理的流量进行通讯。另一个后门程式,则是以PowerShell打造,能执行侦察指令,并将输出结果写入纯文字档案。此外,该后门程式也能让攻击者下载额外工具到受害电脑。