A Microsoft anunciou que recentemente bloqueou um grupo de hackers, que rotulou Storm-0558, que acessou contas de e-mail pertencentes a cerca de 25 organizações, incluindo agências governamentais.
Como os hackers conseguiram acesso às contas de e-mail.
Em um post no blog, a Microsoft disse que começou a investigar atividades anormais em algumas contas de e-mail em 16 de junho, depois de ser notificado pelos clientes.
Sua investigação revelou que, a partir de 15 de maio, o grupo hacking explorou uma vulnerabilidade para forjar tokens de autenticação e ganhar entrada nas contas Microsoft 365 das organizações.
Usando uma chave de assinatura de conta do consumidor da Microsoft comprometida, os hackers podem personificar usuários e acessar contas de e-mail através de serviços como Outlook Web Access e Outlook.com.
Segundo uma recente orientação conjunta da CISA e do FBI, foi identificada atividade suspeita nos registros do Microsoft 365 da agência federal.
Isso levou à descoberta de que os atores de ameaças persistentes avançados tinham acessado e exfiltrado dados de algumas contas do Exchange Online Outlook.
O que é Storm-0558?
De acordo com o perfil ator da Microsoft de Storm-0558, a descrição do grupo é a seguinte:
Storm-0558 (DEV-0558) é uma organização chinesa especializada em atividades de espionagem, roubo de informações e obtenção de credenciais. Além disso, são reconhecidos por empregar software malicioso personalizado, conhecido pela Microsoft como Cigril e Bling, para obter acesso a credenciais.
Como o problema foi resolvido
A CISA e o FBI recomendaram que organizações que utilizam o Exchange Online melhorem o monitoramento e registro para identificar possíveis ataques parecidos.
Suas recomendações incluem permitir recursos avançados de registro de auditoria e ganhar visibilidade em padrões padrão de tráfego em nuvem.
Microsoft afirma que ele resolveu totalmente o problema e bloqueou o acesso dos hackers. Está trabalhando com clientes impactados e notificou-os antes de sua divulgação pública.
A empresa disse que não tinha encontrado nenhuma evidência que os hackers permaneceram em qualquer sistema corporativo.
Mitigating Future Cyberattacks
Esta última atividade vem como os ataques cibernéticos continuam a aumentar contra organizações em todo o mundo.
O senador dos Estados Unidos Mark R. Warner, presidente do Comitê Seleto do Senado de Inteligência, expressou preocupação com os relatórios do mais recente ataque cibernético e o que seria necessário para evitar incidentes futuros.
“O Comitê de Inteligência do Senado está monitorando de perto o que parece ser uma violação significativa da segurança cibernética pela inteligência chinesa. É claro que o PRC está constantemente melhorando suas capacidades de coleta cibernética dirigidas contra os EUA e nossos aliados. A estreita coordenação entre o governo dos EUA e o setor privado será fundamental para combater essa ameaça. ”
A Microsoft planeja continuar melhorando a segurança em torno das chaves da conta e dos tokens para ficar à frente dos riscos cibernéticos em evolução.
Ele enfatizou a necessidade de colaboração contínua e transparência para fortalecer as defesas em toda a indústria de tecnologia contra campanhas de hacking sofisticadas.
Koshiro K/Shutterstock é a imagem principal destacada.
