Microsoft, Çinli bilgisayar korsanlarının, devlet kurumları da dahil olmak üzere iki düzine kuruluşun çevrimiçi değişimini ve Azure reklam hesaplarını ihlal etmek için kullanılan aktif olmayan bir Microsoft Hesap (MSA) tüketici imzalama anahtarını nasıl çaldığını hala bilmiyor.
Microsoft, bugün yayınlanan yeni bir danışmanda, "Aktörün anahtarı edinme yöntemi devam eden bir soruşturma meselesidir."
Olay, birkaç devlet kurumunun çevrimiçi e -posta hizmetlerine yetkisiz erişimin keşfedilmesinden sonra ABD hükümet yetkilileri tarafından bildirildi.
Microsoft, 16 Haziran'daki saldırıları araştırmaya başladı ve Storm-0558'in kabaca 25 kuruluşun (ABD Eyaleti ve Ticaret Departmanları dahil) e-posta hesaplarını ihlal ettiği için bir Çin siber-karşıt grubunun izlediğini buldu.
Tehdit aktörleri, bir GetAccessTokenForResource API kusurunu sömürerek, hedeflerin kurumsal postasına erişim sağlayarak yeni auth jetonları oluşturmak için çalınan Azure reklam işletme imzası anahtarını kullandı.
Storm-0558, e-postaları ve ekleri çalmak için OWA Exchange Store hizmetine karşı REST API çağrıları yoluyla yeni erişim belirteçleri oluşturmak için PowerShell ve Python komut dosyalarını kullanabilir. Ancak Redmond, geçen ayki Çevrimiçi Veri hırsızlığı saldırılarında bu yaklaşımı kullanıp kullanmadıklarını doğrulamadı.
Microsoft, "Telemetri ve araştırmalarımız, kontrat sonrası etkinliğin hedeflenen kullanıcılar için e-posta erişimi ve eksfiltrasyon ile sınırlı olduğunu gösteriyor."
Şirket, 3 Temmuz'da etkilenen tüm müşteriler için çalınan özel imza anahtarının kullanımını engelledi ve saldırganların jeton tekrar altyapısının bir gün sonra kapatıldığını söyledi.
27 Haziran'da Microsoft, yeni erişim belirteçleri üretme girişimlerini engellemek için tüm geçerli MSA imzalama anahtarlarını iptal etti ve yeni oluşturulanları işletme sistemleri için kullandığı anahtar mağazaya taşıdı.
Microsoft, "Microsoft'un aktörden kaynaklanan MSA imzalama anahtarını geçersiz kıldığından beri önemli bir aktör etkinliği gözlenmedi." Dedi.
Bununla birlikte, Redmond, tüm aktif MSA imzalama anahtarlarını iptal ettikten ve API kusurunu azalttıktan sonra artık anahtarla ilgili herhangi bir Storm-0558 kötü niyetli etkinlik tespit etmese de, bugünkü danışmanlık, saldırganların şimdi diğer tekniklere geçtiğini söylüyor.
"Microsoft, aktör tarafından edinilen MSA imzalama anahtarını geçersiz kıldığından beri önemli bir aktör etkinliği gözlenmedi. Ayrıca, aktörün herhangi bir imza anahtarını kullanamadığını veya erişemediğini gösteren diğer tekniklere Storm-0558 geçişini gördük. "Microsoft dedi.
Salı günü Microsoft, Romcom Rus siber suç grubunun, Vilnius, Litvanya'daki NATO zirvesine katılan kuruluşlara karşı son kimlik avı saldırılarında henüz yamalı bir ofis sıfır gününü kullandığını açıkladı.
ROMCOM operatörleri, Magicspell Loader ve Romcom Backdoor gibi kötü amaçlı yazılım yüklerini zorlamak ve dağıtmak için Ukrayna Dünya Kongresi'ni taklit eden kötü niyetli belgeler kullandı.
Microsoft: Çinli hackerlar ABD Govt Exchange e -posta hesaplarını ihlal etti
Çinli bilgisayar korsanları, gizli saldırılarda bize kritik altyapıyı ihlal ediyor
Microsoft, Azure Active Directory'yi Microsoft Intra Kimliğine yeniden markalaştırır
Microsoft, Azure Reklam Auth Kusurunu Düzeltiyor Hesap devralmasını sağlayan
Yeni CISA Tool, Microsoft Cloud Services'ta hackleme etkinliğini algılıyor
Kaynak: Bleeping Computer