Microsoft Çinli APT grublarının M365 altyapılarına gerçekleştirdiği siber saldırılar hakkında bilgi verdi. Yapılan açıklama aşağıdaki gibi;
“Microsoft, Storm-0558 olarak takip ettiği Çin kökenli saldırı grubunun müşteri e-postalarını hedef alan saldırısını engellemiştir. Storm-0558, başlıca Batı Avrupa’daki hükümet kurumlarını hedef almakta ve casusluk, veri hırsızlığı ve kimlik bilgilerine erişim üzerine odaklanmaktadır. Müşterilerden gelen bilgilere dayanarak, 16 Haziran 2023 tarihinde anormal e-posta faaliyetlerini araştırmaya başlayan Microsoft, incelemeleri sonucunda Storm-0558’in 15 Mayıs 2023 tarihinden itibaren e-posta hesaplarına erişim sağladığını tespit etmiştir. Bu saldırı, hükümet kurumlarını ve bu kuruluşlarla ilişkili olası bireylerin hesaplarını da etkileyen yaklaşık 25 kuruluşu kapsamaktadır. Storm-0558, sahte kimlik doğrulama tokenları kullandılar. Microsoft, bu saldırıyı etkilenen tüm müşteriler hesaplar için koruma sağlamıştır.
Telemetri bilgilerimize göre, sahte kimlik doğrulama tokenları kullanarak Storm-0558’in müşteri e-postalarına yapılan saldırıları başarıyla engelledik. Müşterilerin herhangi bir aksiyon alması gerekmemektedir. Microsoft hedeflenen veya etkilenen tüm kuruluşlarla doğrudan iletişime geçmiş ve onlara soruşturma ve yanıt verme konusunda yardımcı olacak önemli bilgiler sağlamıştır. Bu kuruluşlarla yakın bir şekilde çalışmaya devam etmekteyiz. Eğer size herhangi bir iletişim ulaşmadıysa, saldırlardan etkilenmediğiniz anlamına gelmektedir.
Microsoft, etkilenen müşterileri korumak ve sorunu çözmek çin DHS CISA ve diğer kuruluşlarla iş birliği yapmaktadır. Storm-0558 faaliyetlerini araştırmaya ve izlemeye devam etmekteyiz.
Detaylar
Microsoft’in yaptığı araştırmalar, Storm-0558’in kullanıcı e-postalarına erişmek için Outlook Web Access (OWA) ve Outlook.com’da sahte kimlik doğrulama tokenları oluşturarak erişim sağladığını belirlemiştir.
Saldırgan, OWA ve Outlook.com’a erişmek için MSA key’ sahte token oluşturmak için kullanmıştır. MSA keyleri ve Azure AD keyleri ayrı sistemlerden çıkarılan ve yönetilen anahtarlar olup yalnızca kendi sistemleri için geçerli olması gerekmektedir. Saldırgan, token doğrulama zafiyetini istismar ederek Azure AD kullanıcılarını taklit edip kurumsal posta hesaplarına erişim sağlamıştır. Bu saldırıda Azure AD keyleri veya başka herhangi bir MSA keyi kullanıldığına dair bir işaret bulunmamaktadır.
Microsoft, elde edilen MSA keyleri engellemiş ve telemetri bilgilerimize göre saldırgan faaliyetlerini engellemiştir.
Araştırmamız ilerledikçe aşağıdaki önleyici adımları atmaya devam ediyoruz
Microsoft, OWA’da elde edilen MSA key ile imzalanan token kullanımını engelleyerek saldırganların kurumsal e-posta faaliyetlerini önlemiştir.
Microsoft, saldırganın bu keyleri kullanarak sahte token oluşturmasını engellemek için keylerin değiştirilmesini tamamlamıştır. Microsoft, etkilenen tüm müşterilerde bu key ile oluşturulan tokeların kullanımını engellemiştir.”
Kaynak: https://msrc.microsoft.com/blog/2023/07/microsoft-mitigates-china-based-threat-actor-storm-0558-targeting-of-customer-email/