微软在SEC文件中披露高管电子邮件被俄罗斯APT攻击 媒体

俄罗斯APT29组织再度攻击微软

文章重点

近期，俄罗斯的威胁组织APT29对微软再次发起攻击，入侵了多个企业电子邮件帐户，其中包括部分高级主管及该公司网络安全及法律团队成员的帐户。APT29也被称作Cozy Bear，并且被微软追踪为Midnight Blizzard之前名为Nobelium。该组织被认为负责了2020年影响多个组织的SolarWinds供应链攻击，其中也包括微软。

在2021年，这个国家级的持续威胁APT组织隶属于俄罗斯外国情报局SVR，针对微软的客户展开攻击，涵盖了36个国家，并渗透到微软员工的电脑中窃取帐户信息。

最新攻击的详情

APT29最近的攻击始于去年11月，微软在1月19日向美国证券交易委员会SEC提交的8K文件中披露了此事。微软表示，于1月12日发现该组织成功访问并窃取了“小部分”员工电子邮件帐户的信息，包括高层管理团队和其他与网络安全及法律相关的员工帐户。

微软表示：“我们已于1月13日左右移除了威胁行为者对这些电子邮件帐户的访问权限。”

在微软安全响应中心SRC同日发布的文章中，微软指出APT29“采用了密码喷洒攻击以渗透一个旧版本的非生产测试租户帐户，从而取得了访问权。”该组织利用该帐户的权限进入那些受到攻击的电子邮件帐户。

密码喷洒技术分析

密码喷洒技术是通过尝试多个帐户的有限数量常用密码来登录一个组织的多个帐户，与专门对单个帐户进行多次登录尝试的暴力破解攻击有所不同。APT29成功进入被攻击的帐户，暗示该帐户可能没有启用双重身份验证，尽管微软已建议这种作为安全措施。

微软表示，尚未有证据显示APT29访问了任何客户环境、生产系统、源代码或人工智能系统。

微软的SRC文章中指出：“调查显示，他们最初针对的电子邮件帐户是与Midnight Blizzard本身有关的信息。我们正在通知其电邮被访问的员工。”

根据SEC文件，微软正在检查受威胁组织所访问的信息，以评估此次入侵的影响。微软还表示：“我们正持续调查事件的规模，已经通知并与执法机构合作，且正通知相关监管机构关于未经授权访问个人信息的事宜。”

截至目前，微软表示此次事件对公司的运营并未造成重大影响，公司尚未确定事件是否可能在金融状况或运营结果上造成实质影响。

去年7月，微软透露一个来自中国的APT组织成功获取并使用了私有加密钥，以伪造验证令牌，访问至少二十多个组织的基于云的电子邮件帐户