「ミッドナイトブリザード」サイバー攻撃が明らかに: 国家支援のサイバー脅威に対する Microsoft の戦い

Microsoft は最近、Midnight Blizzard として知られるロシア国家支援のハッキング グループによる懸念すべき侵害を明らかにしました。攻撃者は、悪意のある OAuth アプリケーションの作成、ユーザー アカウントの操作、活動を隠蔽するための住宅用プロキシ ネットワークの使用など、高度な戦術を採用しました。この侵害は、組織にとって堅牢なセキュリティ対策の重要性を浮き彫りにしました。

Midnight BlizzardとCozy Bearの関連性が明らかに

2023 年 11 月下旬、Microsoft は、Cozy Bear としても知られる Midnight Blizzard によって組織されたサイバー攻撃の犠牲になりました。ハッカーはパスワード スプレー攻撃を利用して電子メール アカウントを侵害し、サイバーセキュリティ チームと法務チームの上級幹部と従業員を標的にしました。さらなる分析により、攻撃者は Microsoft の企業 IT 環境への特権アクセスを備えた従来のテスト OAuth アプリケーションを悪用したことが判明しました。トークンベースの認証の標準である OAuth は、追加の悪意のある OAuth アプリケーションを作成したハッカーによって操作されました。

Midnight Blizzard の戦術は、新しいユーザー アカウントの作成にまで及び、悪意のある OAuth アプリに Office 365 Exchange メールボックスへのアクセスを許可しました。このアクセスにより、彼らは電子メールやファイルをダウンロードして、彼らの活動に対するマイクロソフトの認識を測ることができました。発信元を隠すために、攻撃者は住宅用プロキシ ネットワークを利用し、正規のユーザーが使用する多数の IP アドレスを通じてトラフィックをルーティングしました。

データ侵害とサイバー攻撃に対抗する方法

このような脅威に対抗するために、Microsoft は組織に対し、特に未確認の ID と高い権限のアプリケーションに焦点を当てて、ユーザーとサービスの権限に関する監査を実施することを推奨しています。彼らは、構成ミスにより企業メールボックスへの不正アクセスが可能になる可能性があるため、Exchange Online で ApplicationImpersonation 特権を持つ ID を精査するようアドバイスしています。管理対象外デバイス上のユーザーに対する異常検出ポリシーと条件付きアクセス アプリ制御も推奨されます。

Midnight Blizzard の活動の影響は、2023 年 5 月に Hewlett Packard Enterprise (HPE) が同社のクラウドベースの電子メール システムに対する同様の攻撃を明らかにしたことから明らかなように、Microsoft の枠を超えて広がっています。 HPE メールボックスと SharePoint ファイルへのアクセス。

これらの侵害に対応するために、組織は引き続き警戒を怠らず、Midnight Blizzard のような国家支援のハッキング グループによってもたらされるリスクを軽減するための強力なセキュリティ対策を導入する必要があります。

「ミッドナイトブリザード」サイバー攻撃が明らかに: 国家支援のサイバー脅威に対する Microsoft の戦いスクリーンショット