Microsoft afferma di non sapere ancora come i hacker cinesi abbiano rubato una chiave di firma di un account Microsoft inattivo (MSA) utilizzata per violare gli account di Exchange Online e Azure AD di una ventina di organizzazioni, tra cui agenzie governative.
“La modalità con cui l’attore ha acquisito la chiave è oggetto di un’indagine in corso”, ha ammesso Microsoft in un nuovo avviso pubblicato oggi.
L’incidente è stato segnalato da funzionari del governo statunitense dopo la scoperta di accessi non autorizzati ai servizi di posta elettronica Exchange Online di diverse agenzie governative.
Microsoft ha iniziato a indagare sugli attacchi il 16 giugno e ha scoperto che un gruppo di cyber-spionaggio cinese che traccia come Storm-0558 ha violato gli account di posta elettronica di circa 25 organizzazioni (presumibilmente tra cui i Dipartimenti di Stato e Commercio degli Stati Uniti).
Gli attori della minaccia hanno utilizzato la chiave di firma aziendale Azure AD rubata per forgiare nuovi token di autenticazione sfruttando un difetto dell’API GetAccessTokenForResource, fornendo loro l’accesso alla posta aziendale dei bersagli.
Storm-0558 può utilizzare script PowerShell e Python per generare nuovi token di accesso tramite chiamate API REST contro il servizio OWA Exchange Store per rubare e-mail e allegati. Tuttavia, Redmond non ha confermato se hanno utilizzato questo approccio negli attacchi di furto di dati di Exchange Online del mese scorso.
“La nostra telemetria e le indagini indicano che l’attività post-compromissione era limitata all’accesso e all’esfiltrazione delle e-mail per gli utenti bersagliati”, ha aggiunto oggi Microsoft.
L’azienda ha bloccato l’uso della chiave di firma privata rubata per tutti i clienti colpiti il 3 luglio e afferma che l’infrastruttura di replay del token degli aggressori è stata chiusa un giorno dopo.
Chiavi di firma MSA revocate per bloccare la forgiatura del token Azure AD
Il 27 giugno, Microsoft ha anche revocato tutte le chiavi di firma MSA valide per bloccare tutti i tentativi di generare nuovi token di accesso e ha spostato quelli appena generati nel key store che utilizza per i suoi sistemi aziendali.
“Nessuna attività dell’attore relativa alla chiave è stata osservata da quando Microsoft ha invalidato la chiave di firma MSA acquisita dall’attore”, ha detto Microsoft.
Tuttavia, mentre Redmond non ha più rilevato alcuna attività malevola di Storm-0558 relativa alla chiave dopo aver revocato tutte le chiavi di firma MSA attive e mitigato il difetto dell’API che lo permetteva, l’avviso di oggi afferma che gli aggressori hanno ora passato ad altre tecniche.
“Nessuna attività dell’attore relativa alla chiave è stata osservata da quando Microsoft ha invalidato la chiave di firma MSA acquisita dall’attore. Inoltre, abbiamo visto Storm-0558 passare ad altre tecniche, il che indica che l’attore non è in grado di utilizzare o accedere a nessuna chiave di firma”, ha detto Microsoft.
Martedì, Microsoft ha anche rivelato che il gruppo di cybercriminalità russa RomCom ha sfruttato un zero-day di Office che deve ancora essere corretto in recenti attacchi di phishing contro organizzazioni che partecipano al vertice della NATO a Vilnius, in Lituania.
Gli operatori di RomCom hanno utilizzato documenti malevoli che impersonavano il Congresso Mondiale Ucraino per spingere e distribuire payload di malware come il loader MagicSpell e il backdoor RomCom.