Microsoft ระบุว่ายังไม่ทราบว่าแฮ็กเกอร์ชาวจีนอาศัยช่องโหว่อะไรในการขโมย Microsoft account (MSA) consumer signing key ที่ไม่ได้ใช้งาน เพื่อใช้ในการเข้าถึงบัญชี Exchange Online และ Azure AD ใน 24 องค์กร รวมถึงหน่วยงานของรัฐบาลก่อนหน้านี้Microsoft ได้ยอมรับในคำแนะนำใหม่ที่เผยแพร่ในวันนี้ว่า การสืบสวนวิธีการที่ผู้โจมตีใช้เพื่อเข้าถึง signing key ดังกล่าวกำลังอยู่ในระหว่างการดำเนินการเหตุการณ์นี้ถูกรายงานโดยเจ้าหน้าที่ของรัฐบาลสหรัฐฯ ภายหลังจากการพบการเข้าถึงที่ไม่ได้รับอนุญาตเข้าถึงบริการอีเมล Exchange Online ของหลายหน่วยงานของรัฐบาล
Microsoft เริ่มต้นสืบสวนการโจมตีในวันที่ 16 มิถุนายน และพบว่ากลุ่มผู้โจมตีชาวจีนที่ชื่อ Storm-0558 สามารถเข้าถึงบัญชีอีเมลของหน่วยงานราว 25 องค์กร (โดยรายงานว่ารวมถึงกรมรัฐธรรมนูญ และพาณิชย์ของสหรัฐฯ)ผู้โจมตีใช้ signing key เข้าสู่ระบบ Azure AD ขององค์กรที่ถูกโจมตีเพื่อปลอมโทเค็นในการตรวจสอบข้อมูล (auth tokens) ใหม่โดยการใช้ช่องโหว่ของ GetAccessTokenForResource API เพื่อให้สามารถเข้าถึงอีเมลองค์กรของเป้าหมายได้Storm-0558 สามารถใช้สคริปต์ PowerShell และ Python เพื่อสร้างโทเค็นใหม่ผ่านการเรียกใช้ REST API ต่อกับบริการ OWA Exchange Store เพื่อขโมยอีเมล และไฟล์แนบ อย่างไรก็ตาม Microsoft ยังไม่ได้ยืนยันว่าพวกเขาใช้วิธีการนี้ในการโจมตีในการขโมยข้อมูล Exchange Online ในเดือนที่ผ่านมา
Microsoft ระบุเพิ่มเติมในวันนี้ว่า "ข้อมูลตามการวิเคราะห์ และการสืบสวนชี้ว่า การโจมตีถูกจำกัดไว้ที่แค่การเข้าถึงอีเมล และการนำข้อมูลออกจากผู้ใช้ที่เป็นเป้าหมายเท่านั้น"ทางบริษัทได้บล็อกการใช้ private signing key ที่ถูกขโมยสำหรับผู้ใช้งานที่ได้รับผลกระทบทั้งหมดในวันที่ 3 กรกฎาคม และ token replay infrastructure ของผู้โจมตีได้ถูกปิดใช้งานลงในวันถัดไป
MSA signing keys ได้ถูกยกเลิกเพื่อบล็อกการปลอมโทเค็น Azure AD
ในวันที่ 27 มิถุนายน Microsoft ยังได้ทำการยกเลิก MSA signing keys ทั้งหมดเพื่อบล็อกการพยายามสร้างโทเค็นการเข้าถึงใหม่ และย้ายโทเค็นที่สร้างขึ้นใหม่ไปยัง key store ที่ใช้สำหรับระบบองค์กร
Microsoft ระบุว่า "ไม่พบพฤติกรรมที่เกี่ยวข้องกับ signing keys จากผู้โจมตีอีก ตั้งแต่ Microsoft ได้ยกเลิก MSA signing keys ที่ผู้โจมตีได้รับมา"อย่างไรก็ตาม แม้ว่า Microsoft จะไม่พบพฤติกรรมที่เกี่ยวข้องกับคีย์ของ Storm-0558 หลังจากยกเลิก MSA signing keys ที่ใช้งานอยู่ และแก้ไขช่องโหว่ของ API ที่เปิดให้ใช้งาน แต่คำแนะนำในวันนี้ระบุว่าผู้โจมตีกำลังเปลี่ยนไปใช้เทคนิคอื่นในการโจมตีในวันอังคารที่ผ่านมา Microsoft พึ่งระบุว่ากลุ่มผู้โจมตี RomCom ที่เกี่ยวข้องกับกลุ่มอาชญากรทางไซเบอร์ของรัสเซียใช้ช่องโหว่ zero-day ใน Office ที่ยังไม่ได้รับการแก้ไขในการโจมตีแบบฟิชชิ่งต่อองค์กรที่เข้าร่วมการประชุมสุดยอดของกลุ่มนาโต้ ในเมืองวิลนีอุสในประเทศลิทัวเนียโดยปฏิบัติการของกลุ่ม RomCom ได้ใช้เอกสารที่เป็นอันตรายโดยปลอมตัวเป็นองค์กร Ukrainian World Congress เพื่อที่จะติดตั้ง payloads ของมัลแวร์ เช่น MagicSpell loader และ RomCom backdoor
ที่มา : bleepingcomputer