Неназована федерална агенция на гражданската изпълнителна власт (FCEB) в САЩ е открила аномална активност по имейл в средата на юни 2023 г., което е довело до откриването от страна на Microsoft на нова шпионска кампания, свързана с Китай, насочена към две дузини организации.

Подробностите идват от съвместна консултация за киберсигурност, публикувана от Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA) и Федералното бюро за разследване (ФБР) на 12 юли 2023 г.

„През юни 2023 г. федерална агенция на гражданската изпълнителна власт (ФГВР) установи подозрителна дейност в своята облачна среда на Microsoft 365 (M365)“, посочват органите. „Майкрософт установи, че напреднали постоянни заплахи (APT) са получили достъп и са ексфилтрирали некласифицирани данни от Outlook в Exchange Online.“

Въпреки че името на правителствената агенция не беше разкрито, CNN и Washington Post съобщиха, че това е Държавният департамент на САЩ, позовавайки се на запознати с въпроса. Обект на посегателство са били и Министерството на търговията, както и имейл акаунти, принадлежащи на служител на Конгреса, на американски защитник на правата на човека и на американски мозъчни тръстове. Броят на засегнатите организации в САЩ се оценява на едноцифрено число.

Разкритието идва ден, след като технологичният гигант приписа кампанията на нововъзникващ „базиран в Китай участник в заплахи“, когото следи под името Storm-0558, който е насочен предимно към правителствени агенции в Западна Европа и се фокусира върху шпионаж и кражба на данни. Събраните до момента доказателства показват, че злонамерената дейност е започнала месец по-рано, преди да бъде засечена.

Китай обаче отхвърли обвиненията, че стои зад хакерския инцидент, като нарече САЩ „най-голямата хакерска империя в света и глобален киберкрадец“ и че е „крайно време САЩ да обяснят дейностите си по кибератаки и да спрат да разпространяват дезинформация, за да отклонят общественото внимание“.

Веригата от атаки е включвала кибершпиони, които са използвали подправени удостоверителни  токени, за да получат достъп до имейл акаунти на клиенти, използвайки Outlook Web Access в Exchange Online (OWA) и Outlook.com. Токените са били подправени с помощта на придобит ключ за подписване на потребителски акаунт в Microsoft (MSA). Точният метод, по който е бил защитен ключът, остава неясен.

Също така Storm-0558 е използвал за улесняване на достъпа до удостоверения два персонализирани инструмента за зловреден софтуер, наречени Bling и Cigril, последният от които е характеризиран като троянски кон, който декриптира криптирани файлове и ги изпълнява директно от системната памет, за да избегне откриване.

CISA заяви, че агенцията FCEB е успяла да идентифицира нарушението, като е използвала разширено регистриране в Microsoft Purview Audit, по-конкретно с помощта на действието MailItemsAccessed mailbox-auditing.

Освен това агенцията препоръчва на организациите да активират регистрирането в Purview Audit (Premium), да включат Microsoft 365 Unified Audit Logging (UAL) и да осигурят възможност за търсене в регистрите от страна на операторите, за да се даде възможност за издирване на този вид дейност и разграничаването ѝ от очакваното поведение в средата.

„Организациите се насърчават да търсят отклонения и да се запознаят с базовите модели, за да разберат по-добре необичайния спрямо нормалния трафик“, добавят CISA и ФБР.

Източник: The Hacker News

Подобни публикации

18 февруари 2025

Infostealer е открит в американски военни и отб...

Израелската фирма за киберсигурност Hudson Rock твърди, че в америк...
18 февруари 2025

Десетки италиански уебсайтове са обект на руски...

По данни на италианската национална агенция за киберсигурност ACN о...
18 февруари 2025

Киберпрестъпниците крадат мощта на ИИ, а вие пл...

Атакуващите използват големи езикови модели (LLM) в т.нар. експлойт...
18 февруари 2025

Cisco: Новите смарт суичове осигуряват следващо...

Cisco твърди, че новите интелигентни суичове и решения за защитна с...
17 февруари 2025

Японски художник излага оковано във верига куче...

Изложба в галерия в Токио, в която оковано във верига куче-робот се...
17 февруари 2025

Русия насочва организациите към фишинг с код на...

Свързана с Русия заплаха, проследена като Storm-2372, е насочена къ...
17 февруари 2025

Полицията конфискува 127 сървъра на непробиваем...

Дни след като няколко правителства обявиха санкции срещу услугата з...
Бъдете социални
Още по темата
18/02/2025

Десетки италиански уебсайто...

По данни на италианската национална агенция...
17/02/2025

Русия насочва организациите...

Свързана с Русия заплаха, проследена като...
13/02/2025

Япония преминава в атака с ...

Според експерти Япония се стреми да...
Последно добавени
18/02/2025

Infostealer е открит в амер...

Израелската фирма за киберсигурност Hudson Rock...
18/02/2025

Десетки италиански уебсайто...

По данни на италианската национална агенция...
18/02/2025

Киберпрестъпниците крадат м...

Атакуващите използват големи езикови модели (LLM)...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!