Microsoft kondigde aan dat het onlangs een groep hackers heeft geblokkeerd, genaamd Storm-0558, die toegang heeft verkregen tot e-mailaccounts van ongeveer 25 organisaties, waaronder overheidsinstanties.
Hoe hackers toegang kregen tot e-mailaccounts
In een blogpost zei Microsoft dat het op 16 juni begon met het onderzoeken van abnormale activiteit op sommige e-mailaccounts nadat het door klanten op de hoogte was gesteld.
Uit hun onderzoek bleek dat de hackgroep vanaf 15 mei een kwetsbaarheid misbruikte om authenticatietokens te vervalsen en toegang te krijgen tot de Microsoft 365-accounts van organisaties.
Met behulp van een gecompromitteerde ondertekeningssleutel van een Microsoft-consumentenaccount konden hackers zich voordoen als gebruikers en toegang krijgen tot e-mailaccounts met behulp van services zoals Outlook Web Access en Outlook.com.
Volgens een recent gezamenlijk advies van de Cybersecurity and Infrastructure Security Agency (CISA) en de FBI heeft de federale instantie verdachte activiteit waargenomen in de Microsoft 365-logboeken.
Dit leidde tot de ontdekking dat geavanceerde persistente bedreigingsactoren gegevens hadden geopend en geëxtraheerd uit sommige Exchange Online Outlook-accounts.
Wat is Storm-0558?
Volgens het Microsoft-acteursprofiel van Storm-0558 is de groepsbeschrijving als volgt:
Storm-0558 (DEV-0558) is een groep van nationale activiteiten in China. Ze richten zich op spionage, gegevensdiefstal en toegang tot inloggegevens. Het is ook bekend dat ze aangepaste malware gebruiken die door Microsoft wordt gevolgd, zoals Cigril en Bling, om toegang te krijgen tot inloggegevens.
Hoe het probleem is opgelost
CISA en de FBI adviseerden organisaties die Exchange Online gebruiken om verbeterde monitoring en logging te implementeren om soortgelijke aanvallen te detecteren.
Hun aanbevelingen omvatten het inschakelen van geavanceerde functies voor auditlogboeken en het verkrijgen van inzicht in standaard cloudverkeerspatronen.
Microsoft zegt dat het het probleem volledig heeft opgelost en de toegang voor hackers heeft geblokkeerd. Het werkt samen met getroffen klanten en heeft hen op de hoogte gebracht voordat het openbaar werd gemaakt.
Het bedrijf zei dat het geen bewijs had gevonden dat de hackers op bedrijfssystemen waren achtergebleven.
Mitigatie van toekomstige cyberaanvallen
Deze nieuwste activiteit komt omdat cyberaanvallen blijven toenemen tegen organisaties over de hele wereld.
De Amerikaanse senator Mark R. Warner, voorzitter van de Senate Select Committee on Intelligence, uitte zijn bezorgdheid over de berichten over de laatste cyberaanval en wat er nodig zou zijn om toekomstige incidenten te voorkomen.
“De Inlichtingencommissie van de Senaat houdt nauwlettend toezicht op wat lijkt op een significante inbreuk op de cyberbeveiliging door de Chinese inlichtingendienst. Het is duidelijk dat de Volksrepubliek China gestaag bezig is met het verbeteren van zijn cyberverzamelingsmogelijkheden gericht op de VS en onze bondgenoten. Nauwe coördinatie tussen de Amerikaanse regering en de particuliere sector zal van cruciaal belang zijn om deze dreiging het hoofd te bieden.”
Microsoft is van plan de beveiliging rond accountsleutels en tokens te blijven verbeteren om veranderende cyberrisico’s voor te blijven.
Hij benadrukte de noodzaak van voortdurende samenwerking en transparantie om de verdediging van de technologie-industrie tegen geavanceerde hackcampagnes te versterken.
Uitgelichte afbeelding: Koshiro K/Shutterstock
Hey, ik ben Brent, en ik speel al een lange tijd mee in de SEO scene. Ik ben vooral heel actief in de Amerikaanse markt, en hou dan ook wel van een uitdaging. Ik ben sinds kort aan het uitbreiden binnenin de Benelux, en besluit hier dan ook te oversharen!
Wil je meer leren, klik dan op lees meer!
