Op 12 januari 2024 ontdekte Microsoft dat Russische hackers in november 2023 hun systemen hadden geschonden en e-mails hadden gestolen van hun leiderschap, cybersecurity en juridische teams.
Microsoft legt nu uit dat de dreigers residential proxies en “Password spraying” brute-force aanvallen gebruikten om een klein aantal accounts aan te vallen, waarbij één van deze accounts een “legacy, non-production test tenant account” was.
Toen Microsoft het lek voor het eerst bekendmaakte, vroegen velen zich af of MFA was ingeschakeld op dit testaccount en hoe een legacy testaccount genoeg privileges zou hebben om zich lateraal te verspreiden naar andere accounts in de organisatie.
“Gebruikmakend van de informatie verkregen uit Microsofts onderzoek naar Midnight Blizzard, heeft Microsoft Threat Intelligence geïdentificeerd dat dezelfde actor andere organisaties heeft getarget en, als onderdeel van onze gebruikelijke notificatieprocessen, zijn we begonnen met het waarschuwen van deze getargete organisaties,” waarschuwt Microsoft in de nieuwe update.
De techgigant adviseert om te focussen op identiteits-, XDR- en SIEM-waarschuwingen. De volgende scenario’s zijn bijzonder verdacht voor Midnight Blizzard-activiteit:
- Verhoogde activiteit in cloud-apps die toegang hebben tot e-mail, wat duidt op het mogelijk ophalen van gegevens.
- Een piek in API-calls na het bijwerken van het wachtwoord in niet-Microsoft OAuth-apps, wat duidt op onbevoegde toegang.
- Toegenomen Exchange Web Services API-gebruik in niet-Microsoft OAuth-apps, wat mogelijk duidt op het exfiltreren van gegevens.
- Niet-Microsoft OAuth-apps met bekende riskante metadata, mogelijk betrokken bij gegevensschendingen.
- OAuth-apps gemaakt door gebruikers van risicovolle sessies, wat duidt op gecompromitteerde exploitatie van accounts.
Lees meer hierover op https://www.microsoft.com/en-us/security/blog/2024/01/25/midnight-blizzard-guidance-for-responders-on-nation-state-attack/
