微软成功应对中国网络攻击

关键要点

微软成功减轻了中国黑客Storm0558对用户Outlook和Exchange Online邮件账户的攻击。此攻击主要针对西欧的政府机构，聚焦间谍活动、数据盗取和凭证访问。暴露的攻击影响大约25个组织，包括美国政府机构。专家提醒企业注意国家赞助的网络攻击，保护国家安全。

微软近期报告称，已成功缓解一场针对客户Outlook和Exchange Online邮件账户的攻击，此攻击由一个总部位于中国的威胁组织Storm0558实施详细链接。在7月11日发布的公告中，微软表示，Storm0558主要针对西欧的政府机构，专注于间谍活动、数据盗取和凭证访问。

然而，这个威胁组织的影响范围显然更广。美国网络安全和基础设施安全局 (CISA)在7月12日也指出，2023年6月，某联邦民事执行机构(FCEB)在其Microsoft 365云环境中发现了可疑活动。该机构向微软和CISA报告了问题，微软的调查显示，有高级持续威胁(APT)行为者访问并提取了未分类的Exchange Online Outlook数据。

CISA和FBI联手发布了公告，为关键基础设施组织监测Microsoft Exchange Online环境提供了建议。值得注意的是，CISAFBI公告中并未直接提到中国，但确实与7月11日微软公告关于Storm0558的内容有关联。

Storm0558已获取了约25个组织的邮箱访问权限，其中包括美国政府机构以及与这些机构关联的用户的相关消费者账户。APT团伙通过伪造身份验证令牌，利用获得的微软账户消费者签名密钥访问用户邮箱。

微软表示，其遥测数据显示，已成功阻止Storm0558使用伪造身份验证令牌访问客户邮箱。微软还称，客户无需采取任何行动，如果某个组织没有直接收到微软的通知，说明他们没有受到影响。

手机npv下载

Google Cloud的Mandiant首席分析师John Hultquist指出，中国的网络间谍活动已经不再是以往我们熟知的“闯入抢夺”战术。他表示，他们的能力已经从以前那种容易被发现的宽泛、显眼的攻击转变为更为隐秘的行动。

“他们以前很张扬，但现在显然更加注重隐秘，”Hultquist说道，“这些行为者在创新，设计出新的攻击方式，已经使我们面临挑战。他们在零日漏洞的使用上走在同行的前面，特别针对安全设备，切入市场。事实是，我们正面对比以往更加复杂的对手，我们必须更加努力以跟上他们的脚步。”

Keeper Security的产品负责人Zane Bond表示，安全专家必须认真对待针对政府机构的国家赞助攻击。他指出，攻击者获取邮件访问权限对任何受害单位都构成严重威胁，其中可能对国家安全产生影响，因为微软评估该对手专注于间谍活动。

“国家级对手资源丰富，防御起来特别困难，”Bond表示，“他们可能利用未被发现的零日漏洞进行攻击，但这也存在风险，因为这类攻击通常声势浩大，极具可见性，易于受害者进行分析。”

由于此次攻击针对的是云端，Bond表示，微软能够立即为所有Azure客户补丁和解决问题。

Delinea的首席安全科学家兼顾问CISO Joseph Carson补充道，尽管大部分网络攻击是由出于经济动机的网络犯罪分子实施的，但我们必须记住，间谍活动、数据盗取和凭证访问依然是国家级攻击者的主要目标。

“在这里需要提醒的是，始终要假设已经发生了泄露，攻击者可能正在您的网络和资源上活动，”Carson说。

他建议组织