중국에 대한 완화

2023년 7월 11일 | Charlie Bell - Microsoft 보안 부문 수석 부사장

Microsoft와 업계의 다른 사람들은 사이버 사고와 관련하여 우리가 배우고 더 나아질 수 있도록 투명성을 요구해 왔습니다. 이전에 언급했듯이 정교한 공격의 기하급수적인 증가와 빈도를 무시할 수 없습니다. 우리가 직면하고 있는 과제가 점점 늘어나면서 더 큰 정보 공유와 업계 파트너십에 대한 우리의 약속이 더욱 강화될 뿐입니다.

오늘 우리는 Microsoft가 Storm-0558로 추적하고 있는 중국 기반 행위자에 의한 활동에 대한 세부 정보를 게시하고 있습니다. 이 공격자는 정부 기관을 포함하여 약 25개 조직에 영향을 미치는 이메일 계정과 이러한 조직과 연관되었을 가능성이 있는 개인의 관련 소비자 계정에 액세스할 수 있었습니다. 우리는 영향을 받은 고객과 협력하여 자세한 내용을 공개하기 전에 그들에게 알렸습니다. 이 단계에서 우리는 고객과 협력하여 사건의 세부 정보와 위협 행위자를 공유하여 업계에 이익을 주고 있습니다.

사이버 공격의 정교함과 빈도가 계속 증가하고 있습니다.

동기를 지닌 위협 행위자들은 계속해서 IT 시스템을 손상시키는 데 주력하고 있습니다. 이러한 풍부한 자원을 갖춘 공격자들은 대상 조직과 관련된 비즈니스 계정이나 개인 계정을 손상시키려는 시도를 구별하지 않습니다. 왜냐하면 손상된 계정 로그인이 하나만 있어도 지속적인 액세스 권한을 얻고 정보를 유출하고 간첩 목표를 달성할 수 있기 때문입니다. Microsoft가 이 사건에 연결한 위협 행위자는 Microsoft가 Storm-0558이라고 부르는 중국에 기반을 둔 공격자입니다. 우리는 이 공격자가 정보 수집을 위해 이메일 시스템에 접근하는 등 간첩 활동에 중점을 두고 있다고 평가합니다. 이러한 유형의 간첩 동기를 지닌 공격자는 자격 증명을 남용하고 민감한 시스템에 있는 데이터에 액세스하려고 합니다.

모든 고객에 대해 완화가 완료되었습니다.

2023년 6월 16일에 고객이 보고한 정보를 기반으로 Microsoft는 비정상적인 메일 활동에 대한 조사를 시작했습니다. 다음 몇 주에 걸쳐 우리의 조사에 따르면 Storm-0558은 2023년 5월 15일부터 약 25개 조직의 이메일 데이터에 액세스했으며 이러한 조직과 연관되었을 가능성이 있는 개인의 소수 관련 소비자 계정에 액세스했습니다. 그들은 획득한 Microsoft 계정(MSA) 소비자 서명 키를 사용하여 사용자 이메일에 액세스하기 위해 위조된 인증 토큰을 사용하여 이를 수행했습니다. Microsoft는 모든 고객을 위해 이 공격의 완화를 완료했습니다.

우리는 방어 및 고객 환경을 강화하기 위해 이 공격과 관련된 알려진 손상 지표에 대한 실질적인 자동 탐지 기능을 추가했지만 추가 액세스에 대한 증거는 발견하지 못했습니다.

신속한 완화를 위한 조정된 대응의 열쇠

Microsoft의 실시간 조사 및 고객과의 협력을 통해 Microsoft 클라우드에 보호 기능을 적용하여 Storm-0558의 침입 시도로부터 고객을 보호할 수 있습니다. 우리는 공격을 완화했으며 영향을 받은 고객에게 연락했습니다. 우리는 또한 DHS CISA와 같은 관련 정부 기관과 파트너십을 맺고 있습니다. 영향을 받은 고객을 보호하고 문제를 해결하기 위해 그들과 다른 사람들이 우리와 협력해 주셔서 감사합니다. 신속하고 강력하며 조율된 대응을 해주신 커뮤니티에 감사드립니다.

고객과 방어자 커뮤니티 지원에 대한 자세한 내용은 여기에서 확인할 수 있습니다.

책임은 우리로부터 시작됩니다

책임은 바로 여기 Microsoft에서 시작됩니다. 우리는 고객의 안전을 지키기 위한 약속을 확고히 지키고 있습니다. 우리는 키와 토큰과 관련하여 진화하는 위험을 관리하기 위해 지속적으로 자체 평가하고, 사건으로부터 배우고, 신원/액세스 플랫폼을 강화하고 있습니다.

우리는 앞으로 어떤 일이 닥칠지 대비할 수 있도록 계속해서 보안의 한계를 뛰어넘어야 합니다. 우리는 계속해서 고객 및 커뮤니티와 협력하여 정보를 공유하고 집단 방어를 강화할 것입니다.