“Midnight Blizzard,” the threat group affiliated with Russian intelligence services (SVR) and the entity behind the attacks on SolarWinds and organizations like Microsoft and HPE, is leveraging automated cloud services accounts and dormant accounts to access cloud environments at target organizations.
The attacks mark a significant shift in tactics for the threat actor (also known as APT29, Cozy Bear, and Dukes) as it adapts to the growing adoption of cloud services by organizations in sectors it has targeted traditionally.
A Significant Shift
In an advisory Monday, the UK’s National Cyber Security Center (NCSC)ในความร่วมมือกับ หน่วยงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) and their counterparts in other countries, warned of the shift in Midnight Blizzard’s tactics and the need for organizations to prevent the threat actor from gaining initial access to their cloud environments.
“For organizations that have moved to cloud infrastructure, a first line of defense against an actor such as SVR should be to protect against SVR’s TTPs for initial access,” the advisory noted, while recommending mitigations against the threat.
The US and others have tied Midnight Blizzard with a high degree of confidence to Russia’s SVR, a threat actor that has been active since at least 2009. Initially the group garnered attention for its intelligence-gathering attacks against government agencies, think tanks, and organizations in healthcare and energy. In recent years, and especially since its SolarWinds attack, Midnight Blizzard has targeted numerous other organizations including those in the software supply chain, healthcare research, law enforcement, aviation, and military industries. Recently Microsoft and HPE blamed the threat actor for breaking into their respective corporate email environments and accessing emails belonging to senior leadership and key personnel.
In many of its previous attacks, Midnight Blizzard has exploited software vulnerabilities and other network weaknesses to gain initial access to a target organization’s on-premises IT infrastructure. But with many of its targets shifting to cloud-native and cloud-hosted environments, the threat actor has been forced to pivot and target cloud services as well. “To access the majority of the victims’ cloud hosted network, actors must first successfully authenticate to the cloud provider,” the NCSC said.
Targeting Service and Dormant Accounts
One common tactic that Midnight Blizzard has employed to achieve that goal is to use brute-force guessing and password spraying attacks to gain access to cloud service accounts. These are typically automated, non-human accounts for managing cloud applications and services. Such accounts cannot be easily protected via two-factor authentication mechanisms and are therefore more susceptible to a successful compromise and takeover, the NCSC said.
But there’s another issue that makes threat actor takeover of these accounts especially problematic. “Gaining access to these accounts provides threat actors with privileged initial access to a network, to launch further operations,” the NCSC warned. In many of these attacks, the threat actors used legitimate residential IP addresses to launch their password spray attacks, making it hard for defenders to spot the activity for what it was.
Another tactic that Midnight Blizzard has used to gain initial access to a target cloud environment is to leverage dormant accounts belonging to users who may no longer be working at a victim organization, but whose account might remain on the system, the advisory noted. On occasion, the threat actor has regained access to a network from which it might have been booted out by logging into inactive accounts and following instructions to reset the password.
Abusing Authentication Tokens
Other tactics that Midnight Blizzard has used for initial cloud access include using illegally obtained OAuth tokens to access victim accounts — and maintain persistence — without requiring a password, as well as using so-called MFA bombing or MFA-fatigue attacks to get victims to authenticate them to a target account. Once the threat actor has gained access to a cloud environment, they have often registered their own device on it to gain persistent access.
To mitigate the threat, organizations should use multifactor authentication where they can, to reduce the impact of a password compromise, the NCSC said. In situations where it might be difficult to use a second authentication factor, organizations should create strong passwords for protecting service accounts. The NCSC also recommended that organizations implement the หลักการของสิทธิที่น้อยที่สุด for service accounts to limit what an attacker could potentially do by misusing one.
In addition, the advisory advocated keeping the session lifetimes of authentication tokens as “short as practical” to limit what the threat actor could do with a stolen token and making sure that device enrollment policies do not permit registration of unauthorized devices in the cloud environment.
“Canary service accounts should be created which appear to be valid service accounts but are never used by legitimate services,” the advisory said. Misuse of such accounts is a clear sign of unauthorized access that needs immediate investigation.
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cloud-security/russia-s-midnight-blizzard-targeting-service-accounts-for-initial-cloud-access
- :มี
- :เป็น
- :ไม่
- :ที่ไหน
- 2009
- 7
- a
- เข้า
- การเข้าถึง
- ลงชื่อเข้าใช้
- บัญชี
- บรรลุ
- คล่องแคล่ว
- อยากทำกิจกรรม
- นักแสดง
- ปรับ
- นอกจากนี้
- ที่อยู่
- การนำมาใช้
- ที่ปรึกษา
- ในเครือ
- กับ
- หน่วยงานที่
- บริษัท ตัวแทน
- ด้วย
- an
- และ
- และโครงสร้างพื้นฐาน
- อื่น
- ปรากฏ
- การใช้งาน
- เป็น
- AS
- At
- โจมตี
- โจมตี
- การโจมตี
- ความสนใจ
- รับรองความถูกต้อง
- การยืนยันตัวตน
- อัตโนมัติ
- การบิน
- BE
- หมี
- รับ
- หลัง
- ซึ่งเป็นของ
- หมดสภาพ
- แต่
- by
- CAN
- ไม่ได้
- ศูนย์
- โซ่
- ชัดเจน
- เมฆ
- โครงสร้างพื้นฐานคลาวด์
- บริการคลาวด์
- การทำงานร่วมกัน
- ร่วมกัน
- การประนีประนอม
- ความมั่นใจ
- ไทม์ไลน์การ
- ได้
- counterparts
- ประเทศ
- สร้าง
- ที่สร้างขึ้น
- ไซเบอร์
- การรักษาความปลอดภัยในโลกไซเบอร์
- cybersecurity
- Defenders
- ป้องกัน
- องศา
- เครื่อง
- อุปกรณ์
- ยาก
- do
- อย่างง่ายดาย
- อีเมล
- อีเมล
- การจ้างงาน
- พลังงาน
- การบังคับใช้
- เอกลักษณ์
- สิ่งแวดล้อม
- สภาพแวดล้อม
- โดยเฉพาะอย่างยิ่ง
- ใช้ประโยชน์
- ปัจจัย
- ชื่อจริง
- ดังต่อไปนี้
- สำหรับ
- ถูกบังคับ
- ราคาเริ่มต้นที่
- ต่อไป
- ได้รับ
- ที่ได้รับ
- ดึงดูด
- รวบรวม
- ได้รับ
- เป้าหมาย
- รัฐบาล
- หน่วยงานภาครัฐ
- บัญชีกลุ่ม
- การเจริญเติบโต
- ยาก
- มี
- การดูแลสุขภาพ
- จุดสูง
- เป็นเจ้าภาพ
- HTTPS
- ทันที
- ส่งผลกระทบ
- การดำเนินการ
- in
- ในอื่น ๆ
- ไม่ได้ใช้งาน
- ประกอบด้วย
- รวมทั้ง
- อุตสาหกรรม
- โครงสร้างพื้นฐาน
- แรกเริ่ม
- ในขั้นต้น
- คำแนะนำการใช้
- Intelligence
- เข้าไป
- การสอบสวน
- IP
- ที่อยู่ IP
- ปัญหา
- IT
- ITS
- jpg
- การเก็บรักษา
- คีย์
- ที่รู้จักกัน
- เปิดตัว
- กฏหมาย
- การบังคับใช้กฎหมาย
- ความเป็นผู้นำ
- น้อยที่สุด
- ถูกกฎหมาย
- เลฟเวอเรจ
- การใช้ประโยชน์
- กดไลก์
- LIMIT
- Line
- การเข้าสู่ระบบ
- อีกต่อไป
- เก็บรักษา
- ส่วนใหญ่
- ทำให้
- การทำ
- การจัดการ
- หลาย
- เครื่องหมาย
- อาจ..
- กลไก
- ไมโครซอฟท์
- เที่ยงคืน
- อาจ
- ทหาร
- ด่าว่า
- บรรเทา
- วันจันทร์
- ข้อมูลเพิ่มเติม
- ย้าย
- การพิสูจน์ตัวตนแบบหลายปัจจัย
- ต้อง
- NCSC
- จำเป็นต้อง
- ความต้องการ
- เครือข่าย
- ไม่เคย
- ไม่
- เด่น
- มากมาย
- รับรอง
- ที่ได้รับ
- โอกาส
- of
- มักจะ
- on
- ครั้งเดียว
- ONE
- การดำเนินการ
- or
- organizacja
- องค์กร
- อื่นๆ
- ผลิตภัณฑ์อื่นๆ
- ออก
- ของตนเอง
- รหัสผ่าน
- รหัสผ่าน
- รูปแบบไฟล์ PDF
- วิริยะ
- บุคลากร
- เดือย
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- นโยบาย
- ที่อาจเกิดขึ้น
- ประยุกต์
- ป้องกัน
- ก่อน
- ได้รับการยกเว้น
- ที่มีปัญหา
- ป้องกัน
- การป้องกัน
- ปกป้อง
- ผู้จัดหา
- ให้
- เมื่อเร็ว ๆ นี้
- เมื่อเร็ว ๆ นี้
- แนะนำ
- แนะนำ
- ลด
- ลงทะเบียน
- ลงทะเบียน
- ยังคง
- การวิจัย
- สำหรับอยู่อาศัย
- ว่า
- รัสเซีย
- รัสเซีย
- s
- กล่าวว่า
- ที่สอง
- ภาค
- ความปลอดภัย
- ระดับอาวุโส
- ผู้นำระดับสูง
- บริการ
- บริการ
- เซสชั่น
- เปลี่ยน
- ขยับ
- สั้น
- น่า
- ลงชื่อ
- สำคัญ
- ตั้งแต่
- สถานการณ์
- ซอฟต์แวร์
- ห่วงโซ่อุปทานซอฟต์แวร์
- SolarWinds
- ผู้ให้การสนับสนุน
- จุด
- ที่ถูกขโมย
- แข็งแรง
- ที่ประสบความสำเร็จ
- ประสบความสำเร็จ
- อย่างเช่น
- จัดหาอุปกรณ์
- ห่วงโซ่อุปทาน
- แน่ใจ
- ฉลาด
- ระบบ
- กลยุทธ์
- การครอบครอง
- ถัง
- เป้า
- เป้าหมาย
- กำหนดเป้าหมาย
- เป้าหมาย
- ที่
- พื้นที่
- สหราชอาณาจักร
- ของพวกเขา
- พวกเขา
- ที่นั่น
- ดังนั้น
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- คิด
- เหล่านั้น
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- ผูก
- ไปยัง
- โทเค็น
- ราชสกุล
- ตามธรรมเนียม
- เป็นปกติ
- Uk
- ไม่มีสิทธิ
- us
- ใช้
- มือสอง
- ผู้ใช้
- การใช้
- ถูกต้อง
- ผ่านทาง
- เหยื่อ
- ผู้ที่ตกเป็นเหยื่อ
- ช่องโหว่
- เตือน
- คือ
- ความอ่อนแอ
- ดี
- อะไร
- ที่
- ในขณะที่
- WHO
- ใคร
- กับ
- ไม่มี
- การทำงาน
- ปี
- ลมทะเล