Midnight Blizzard入侵微软:俄罗斯APT29如何用密码喷射攻破高管邮箱

2024年2月10日 · 行业动态

SolarWinds的鬼魂再次现身

2024年1月19日,微软在提交给美国证券交易委员会(SEC)的8-K文件中披露:公司企业系统遭到国家级攻击者入侵。同一天,微软安全响应中心(MSRC)发布了详细的安全公告。

攻击者被微软命名为Midnight Blizzard——这个名字对于跟踪俄罗斯网络间谍活动的人来说并不陌生。它还有多个广为人知的别名:NOBELIUM、APT29、Cozy Bear。正是这个组织,在2020年策划了震惊全球的SolarWinds Sunburst供应链攻击。

这一次,他们的目标不再是软件供应链,而是微软自己的高管邮箱。

攻击手法:低而慢的密码喷射

根据微软1月25日发布的技术分析报告,Midnight Blizzard采用了极为谨慎的入侵策略。

攻击的第一步是密码喷射(Password Spraying)。攻击者对少量目标账户发起低频次的密码猜测尝试——每个账户尝试次数极少,且分散在不同时间段,目的是规避基于异常登录频率和"不可能旅行"(impossible travel)的检测规则。攻击者还使用住宅代理基础设施来隐藏真实来源。

这种"低而慢"的手法,是APT29的标志性特征。它不追求速度,追求的是不被发现。

一个被遗忘的测试账户成了突破口

攻击者最终成功入侵了一个遗留的非生产测试租户账户。该账户没有启用多因素认证(MFA)。

这个账户本身权限有限,但它关联了一个遗留的OAuth应用程序。这个应用程序在早期产品开发测试阶段被授予了full_access_as_app权限——即对Office 365 Exchange Online的完全访问权限。产品上线后,这个高权限应用从未被清理

攻击者利用这个OAuth应用,为自身创建额外的凭证,进而伪造具有高级邮箱访问权限的令牌。

通过这种方式,攻击者读取了多个敏感邮箱的内容,包括:

这些邮箱中可能包含微软与美国政府机构的通信、安全漏洞报告以及内部战略讨论等敏感信息。

波及范围不止邮箱

在初始披露后的几周内,事件的波及范围持续受到关注。

2月初,安全公司Resecurity报告称,在Exploit暗网论坛上发现了超过18,000个AnyDesk凭据待售——远程桌面软件AnyDesk此前也证实了其生产系统遭到入侵,入侵时间线与微软事件高度重叠。

微软方面表示调查仍在进行中,不排除攻击范围进一步扩大的可能。虽然具体的影响面仍在评估,但核心事实已经清楚:这不是一次浅尝辄止的试探,而是一次深度的、有组织的渗透。

SEC新规下的披露压力

值得注意的是,微软此次披露的时间点并非巧合。

2024年1月,美国SEC关于上市公司网络安全事件的新披露规则已经生效。根据该规则,美国上市公司必须在发现重大网络安全事件后四个工作日内提交8-K文件进行披露。

微软在1月12日检测到入侵,1月19日提交8-K文件——恰好处于四天窗口期内。

几乎同时,惠普企业(HPE)也披露了其系统遭到APT29入侵的事实,攻击者在惠普网络中潜伏了长达六个月。SEC新规正在迫使上市公司对网络威胁保持更高的透明度。

遗留OAuth应用:被忽视的定时炸弹

此次事件中最值得安全从业者深思的,不是APT29的攻击技巧有多高超,而是一个遗留OAuth应用如何成为整个防线中最薄弱的一环。

full_access_as_app是一个极为危险的权限——它允许应用不经用户交互即可访问租户中所有邮箱。这种权限通常只在开发测试阶段使用,上线后理应被立即回收。但在微软的案例中,这个应用从测试阶段一直遗留到了被攻击者利用的那一天。

这是一个典型的权限卫生(Permission Hygiene)问题。企业在系统建设初期为了快速推进,往往会授予过度权限,而在系统稳定后疏于清理。随着时间推移,这些"遗留权限"变成了潜伏的定时炸弹。

APT29的持久威胁

Midnight Blizzard(APT29/Cozy Bear)隶属于俄罗斯对外情报局(SVR),是全球最活跃、最老练的国家级网络间谍组织之一。

从2015年美国参谋长联席会议邮箱被黑,到2016年美国民主党全国委员会邮件泄露,再到2020年SolarWinds供应链攻击,APT29的攻击足迹遍布全球政府和关键基础设施。

此次对微软自身的攻击,再次证明了一个残酷的事实:即使是全球最大的安全公司,也无法完全免疫国家级网络间谍的渗透。

安全不是一个状态,而是一个持续的过程。遗留系统的权限清理、MFA的强制执行、OAuth应用的生命周期管理——这些看似基础的工作,恰恰是抵御APT级别攻击的关键防线。


参考来源:微软MSRC安全公告(2024年1月19日)微软技术分析(2024年1月25日)安全内参

← 返回文章列表