Trong tuần qua, Microsoft đã thông báo rằng nhóm tấn công APT29, được cho là được hậu thuẫn bởi chính phủ Nga, sau chiến dịch tấn công vào hệ thống của Microsoft vào tháng 11/2023, hiện đang mở rộng hoạt động của mình để nhắm tới nhiều tổ chức trên khắp thế giới.
Microsoft đang triển khai thông báo chính thức đến các tổ chức bị ảnh hưởng, điều này được thực hiện ngay sau khi Hewlett Packard Enterprise (HPE) công bố rằng họ đã là nạn nhân của một cuộc tấn công thực hiện bởi nhóm APT29, còn được biết đến với các tên gọi khác như BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard và The Dukes.
Nhóm APT29 chủ yếu tập trung vào các tổ chức chính phủ, ngoại giao, tổ chức phi chính phủ và nhà cung cấp dịch vụ IT, đặc biệt tại Mỹ và châu Âu. Mục tiêu hàng đầu của nhóm trong các chiến dịch là thu thập thông tin chiến lược quan trọng với lợi ích cho Nga thông qua việc duy trì kết nối trong thời gian dài mà không gây sự chú ý.
Trong cuộc tấn công vào Microsoft tháng 11/2023, nhóm APT29 đã dùng kỹ thuật password spray (kỹ thuật chỉ sử dụng một mật khẩu phổ biến để dò đoán cho tất cả tài khoản tồn tại trong hệ thống) để xâm nhập vào một tài khoản kiểm thử không có xác thực hai yếu tố. Sau đó, chúng sử dụng tài khoản này để xác định và xâm nhập vào một ứng dụng Oauth thử nghiệm có đặc quyền cao trong môi trường doanh nghiệp Microsoft và cấp cho nó quyền full_access_as_app trong Office 365 Exchange Online để truy cập hộp thư.
Cuộc tấn công được thực hiện từ một hạ tầng proxy dân cư phân tán nhằm ẩn danh, cho phép kẻ tấn công thực hiện các thao tác với tài khoản và ứng dụng Exchange Online thông qua dải địa IP được sử dụng bởi nhiều người dùng hợp pháp khác.