微软应对国家级黑客组织Midnight Blizzard攻击的最新行动

本博客提供了2024年1月12日微软安全团队检测到的国家级攻击的最新情况。如我们之前分享的，1月19日，安全团队在我们的企业电子邮件系统中检测到此次攻击，并立即启动了响应流程。微软威胁情报调查将该威胁行为者识别为Midnight Blizzard，即俄罗斯国家支持的行为者，也称为NOBELIUM。

正如我们当时所说，我们的调查仍在进行中，我们将酌情提供更多细节。

最近几周，我们发现证据表明，Midnight Blizzard正在利用最初从我们企业电子邮件系统中窃取的信息来获取或试图获取未授权访问。这包括访问公司的一些源代码仓库和内部系统。截至目前，我们尚未发现任何证据表明微软托管的面向客户的系统受到入侵。

显然，Midnight Blizzard正试图使用其发现的不同类型的密钥。其中一些密钥是通过电子邮件在客户和微软之间共享的，当我们在被窃取的电子邮件中发现它们时，我们一直在并正在联系这些客户，协助他们采取缓解措施。Midnight Blizzard增加了攻击某些方面的规模，例如密码喷洒，在2024年2月相比1月已经很大的规模增加了多达10倍。

Midnight Blizzard的持续攻击特点是威胁行为者资源、协调和专注度的持续、重大投入。它可能正在利用获取的信息来积累攻击区域的图景，并增强其攻击能力。这反映了全球威胁格局变得更加广泛且前所未有的情况，尤其是在复杂的国家级攻击方面。

在整个微软，我们增加了安全投资、跨企业协调和动员，并增强了我们防御自身、保护并强化环境以应对这种高级持续性威胁的能力。我们已经并将继续实施额外的增强安全控制、检测和监控。

我们对Midnight Blizzard活动的积极调查仍在进行中，调查结果将继续演变。我们仍然致力于分享我们所学的知识。