生成的データ インテリジェンス

サイバーセキュリティ

中国のAPTが25の政府機関のMicrosoft Outlookメールをクラック

プラトンによって再発行
プラトンによって再発行

日付:

閲覧数: 126

この春、中国の攻撃者が国務省を含む西ヨーロッパと米国の 25 の政府機関の電子メール アカウントにアクセスしました。

7月11上、 マイクロソフトはサイバースパイ活動を鎮圧したと報告 「Storm-0558」として追跡しているグループによって実行されています。 Storm-0558 は中国に拠点を置き、主に西側政府組織に対するスパイ活動に焦点を当てているようです。

匿名の情報筋がCNNに語った。 この攻撃は米国国務省だけでなく国会議事堂の組織にも影響を与えたという(ただし、攻撃者が国会議事堂に対して成功したかどうかはあまり明らかではない)。 CNNの報道によると、ハッカーらは「特定の当局者を狙ったハッキン​​グで、各政府機関のほんの一握りの当局者の電子メールアカウントに焦点を当てた」という。 攻撃者がどのような種類の機密情報にアクセスできたのかは不明です。

による Storm-0558 の Microsoft のプロフィール、Bling という XNUMX つのカスタム マルウェアでも知られています。 シグリル、ファイルを暗号化し、検出を回避するためにシステム メモリから直接実行するトロイの木馬です。

この例では、グループは認証トークンを偽造して、承認されたものであるかのように偽装することができました。 Azure Active Directory (AD) ユーザー、企業の電子メール アカウントと、そこに含まれる可能性のある機密情報へのアクセスを取得します。

「中国のサイバースパイ活動は、私たちの多くが慣れ親しんでいるスマッシュ・アンド・グラブ戦術から大きく進歩している」とマンディアント社のGoogle Cloud首席アナリスト、ジョン・ハルトクイスト氏はダーク・リーディングに送った書面声明の中で述べた。 「彼らは、大規模で大規模なキャンペーンによって支配されていたものから、はるかに簡単に発見できるようにその能力を変革しました。 彼らは以前は生意気だったが、今では明らかにステルスに重点を置いている。」

中国のスパイ活動についてこれまでにわかっていること

Microsoft が異常なメール活動について初めて知らされたのは 16 月 15 日でした。調査の結果、より広範なサイバースパイ活動が進行中であり、その起源は少なくとも XNUMX か月前の XNUMX 月 XNUMX 日に遡ることが明らかになりました。

Storm-0558 のスパイ活動は、盗まれたマネージド サービス アカウント (MSA) のコンシューマ署名キーと、認証トークンの偽造を可能にする検証の問題によって可能になり、Outlook.com と Exchange Online の Outlook Web Access クライアント.

その後、Microsoft は MSA キーの問題を修正し、さらなる脅威アクターの活動をブロックしました。

全体として、APT は主に西ヨーロッパの 25 の政府機関と、それらの機関に関連する個人の個人アカウントを侵害したようです。 Microsoft セキュリティ担当エグゼクティブ バイスプレジデント、チャーリー ベル役 ブログ投稿に記載されています: 「これらの豊富なリソースを持つ敵対者は、標的となった組織に関連するビジネス アカウントと個人アカウントを侵害しようとすることを区別していません。なぜなら、侵害に成功したアカウント ログインを XNUMX 回行うだけで永続的なアクセスを取得し、情報を窃取し、スパイ活動の目的を達成できるからです。」

Microsoftはそれ以来、既知の被害者全員に連絡を取り、顧客によるこれ以上の対応は必要ないと述べた。

特権組織に属する機密システムを破壊するためのこの最新の斬新なアプローチは、まさに最新の証拠です。 中国の脅威アクターは自らの技術を改良している。 「現実には、私たちはこれまで以上に洗練された敵に直面しており、彼らに追いつくためにはさらに努力する必要がある」とハルトクイスト氏は書いている。

Microsoft はこの話についてのコメント要請を拒否した。

スポット画像

最新のインテリジェンス

スポット画像

著作権 @ 2024 Plato Technologies Inc.