Центр аналитики угроз Microsoft отслеживает новую активность хакерской группировки NOBELIUM. Наше расследование используемых методов и тактик продолжается, но мы видели распыление паролей и атаки методом перебора и хотим поделиться некоторыми подробностями, чтобы помочь нашим клиентам и сообществам защитить себя.
Эта недавняя активность была в основном неудачной, и большинство целей не были успешно скомпрометированы - на сегодняшний день нам известно о трех скомпрометированных объектах. Со всеми клиентами, которые были скомпрометированы или оказавшихся под прицелом, связываются с помощью нашего процесса уведомления национального государства.
Этот вид активности не нов, и мы по-прежнему рекомендуем всем принимать меры безопасности, такие как включение многофакторной аутентификации для защиты своей среды от этой и подобных атак. Эта активность была нацелена на конкретных клиентов, в первую очередь IT-компании (57%), затем правительство (20%) и меньший процент для неправительственных организаций и аналитических центров, а также сферы финансовых услуг. Активность была в основном сосредоточена на интересах США, около 45%, за которыми следовали 10% в Великобритании и меньшие числа из Германии и Канады. Всего было выбрано 36 стран.
В рамках нашего расследования этой продолжающейся активности мы также обнаружили вредоносное ПО для кражи информации на машине, принадлежащей одному из наших агентов поддержки клиентов, имеющей доступ к основной информации учетной записи для небольшого числа наших клиентов. В некоторых случаях субъект использовал эту информацию для запуска целенаправленных атак в рамках своей более широкой кампании. Мы быстро отреагировали, закрыли доступ и обезопасили устройство. Расследование продолжается, но мы можем подтвердить, что наши агенты поддержки настроены с минимальным набором разрешений, необходимых в рамках нашего подхода с нулевым доверием «наименее привилегированный доступ» к информации о клиентах. Мы уведомляем всех затронутых клиентов и поддерживаем их, чтобы их учетные записи оставались безопасными.
Это действие подчеркивает важность передовых мер безопасности, таких как архитектура с нулевым доверием и многофакторная аутентификация, и их важность для всех.
По информации Microsoft Security Response Center