Microsoft ha pubblicato un post sul blog dedicato alla sicurezza informatica per descrivere le tecniche usate dal gruppo Midnight Blizzard durante l’attacco rilevato il 12 dicembre 2023 e reso noto lo scorso 19 gennaio. L’azienda di Redmond ha inoltre fornito alcuni suggerimenti per rispondere proattivamente a queste minacce.
Dettagli dell’attacco password spray
I cybercriminali del gruppo Midnight Blizzard sfruttano diverse tecniche per l’accesso iniziale, la persistenza e il movimento laterale. Per l’intrusione nei sistemi di Microsoft è stato effettuato un attacco password spray, un tipo di attacco di forza bruta che permette di trovare le credenziali di login ad un account, utilizzando password più comuni.
Per evitare la rilevazione sono stati eseguiti pochi tentativi di accesso. I cybercriminali hanno inoltre usato un’infrastruttura distribuita di proxy residenziali, in modo da nascondere la provenienza dell’attacco. Il traffico è stato reindirizzato attraverso numerosi indirizzi IP appartenenti ad utenti legittimi.
Dopo aver compromesso un account di test, non protetto dall’autenticazione multi-fattore, i cybercriminali hanno sfruttato un’applicazione OAuth con privilegi elevati per accedere all’ambiente Exchange Online e quindi alle email aziendali.
Microsoft ha identificato le attività del gruppo analizzando i log di Exchange Web Services e individuato gli autori, grazie anche alla conoscenza approfondita del loro modus operandi. Gli stessi cybercriminali hanno colpito altre organizzazioni che sono state prontamente informate. Probabilmente una di esse è Hewlett Packard Enterprise, ma non ci sono conferme ufficiali.