微软安全团队检测与响应

2024年1月12日，微软安全团队发现针对公司系统的国家级攻击，立即启动响应流程，包括调查、阻断恶意活动、缓解攻击并阻止威胁行为者进一步访问。经确认，攻击者为由俄罗斯支持的黑客组织Midnight Blizzard（又称Nobelium）。

攻击细节与分析

自2023年11月下旬起，攻击者通过密码喷洒攻击攻破一个旧版非生产测试租户账户，利用该账户权限访问了微软少量企业邮箱账户，包括高管团队、网络安全、法律及其他职能部门的员工邮箱，并窃取部分邮件和附件。调查显示，攻击者最初目标是获取与Midnight Blizzard自身相关的信息。微软正在通知受影响的员工。

攻击性质与影响范围

此次攻击并非由微软产品或服务中的漏洞导致。截至目前，没有证据表明威胁行为者访问了客户环境、生产系统、源代码或AI系统。如需客户采取行动，微软将另行通知。

安全风险与应对策略

这次攻击凸显了资源充足的国家级威胁行为者对所有组织构成的持续风险。微软在去年底宣布的“安全未来倡议”（SFI）中强调，面对国家级资助的威胁行为者，需重新平衡安全与业务风险之间的关系——传统计算方法已不足够。本次事件促使微软加快行动，立即将当前安全标准应用于微软拥有的遗留系统和内部业务流程，即使这些更改可能对现有业务流程造成干扰。

后续行动与透明度承诺

微软将继续调查，并根据调查结果采取额外措施，同时与执法部门和监管机构合作。微软致力于分享更多信息和学习成果，以便行业从此次经验和威胁行为者观察中受益，并将适时提供更多细节。