Os e-mails dos principais executivos da Microsoft foram violados em um sofisticado ataque APT ligado à Rússia
22 de Janeiro de 2024

A Microsoft revelou na sexta-feira que foi alvo de um ataque de estado-nação em seus sistemas corporativos que resultou no roubo de e-mails e anexos de executivos de alto escalão e outras pessoas nos departamentos de segurança cibernética e jurídico da empresa.


O fabricante do Windows atribuiu o ataque a um grupo russo de ameaça persistente avançada (APT), conhecido como Midnight Blizzard (anteriormente Nobelium), também conhecido como APT29, BlueBravo, Cloaked Ursa, Cozy Bear e The Dukes.


A empresa afirmou ainda que tomou medidas imediatas para investigar, interromper e mitigar a atividade maliciosa assim que a descobriu em 12 de janeiro de 2024.

Estima-se que a campanha tenha começado no final de novembro de 2023.

"O ator da ameaça usou um ataque de password spray para comprometer uma conta de teste não-produtiva legada e obter uma posição inicial, e então usou as permissões da conta para acessar uma porcentagem muito pequena das contas de e-mail corporativo da Microsoft, incluindo membros de nossa equipe de liderança sênior e funcionários de nossas funções de segurança cibernética, jurídica e outras, e exfiltrou alguns e-mails e documentos anexados", disse a Microsoft.


Redmond afirmou que a natureza do alvo indica que os atores da ameaça estavam procurando acessar informações relacionadas a eles mesmos.

Também enfatizou que o ataque não foi resultado de nenhuma vulnerabilidade de segurança em seus produtos e que não há evidências de que o adversário acessou ambientes de clientes, sistemas de produção, código-fonte ou sistemas de IA.


No entanto, a gigante da computação não divulgou quantas contas de e-mail foram infiltradas e quais informações foram acessadas, mas disse que estava no processo de notificar os funcionários que foram impactados como resultado do incidente.

O grupo de hacking, que anteriormente foi responsável pelo comprometimento de alto perfil da cadeia de fornecimento da SolarWinds, escolheu a Microsoft duas vezes, uma vez em dezembro de 2020 para sifonar o código-fonte relacionado ao Azure, Intune e componentes do Exchange, e uma segunda vez violando três de seus clientes em junho de 2021 por meio de ataques de forceça bruta e password spraying.

"Este ataque destaca o risco contínuo que os atores bem equipados de ameaças de estado-nação, como o Midnight Blizzard, representam para todas as organizações", disse o Centro de Resposta de Segurança da Microsoft (MSRC).

Achou este artigo interessante? Siga-nos no Twitter e no LinkedIn para ler mais conteúdos exclusivos que postamos.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...