Microsoft đang triển khai thông báo chính thức đến các tổ chức bị ảnh hưởng, điều này được thực hiện ngay sau khi Hewlett Packard Enterprise (HPE) công bố rằng họ đã là nạn nhân của một cuộc tấn công thực hiện bởi nhóm APT29, còn được biết đến với các tên gọi khác như BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard và The Dukes.
Nhóm APT29 chủ yếu tập trung vào các tổ chức chính phủ, ngoại giao, tổ chức phi chính phủ và nhà cung cấp dịch vụ IT, đặc biệt tại Mỹ và châu Âu. Mục tiêu hàng đầu của nhóm trong các chiến dịch là thu thập thông tin chiến lược quan trọng với lợi ích cho Nga thông qua việc duy trì kết nối trong thời gian dài mà không gây sự chú ý.
Theo thông tin mới nhất được công bố, quy mô của chiến dịch lần này lớn hơn so với ước tính ban đầu, tuy nhiên Microsoft không tiết lộ danh sách các tổ chức bị ảnh hưởng. Nhóm APT29 thực hiện hoạt động của mình bằng cách sử dụng các tài khoản chính thức trước đó bị chiếm dụng để truy cập và mở rộng quyền kiểm soát trong môi trường tổ chức, nhằm tránh bị phát hiện. Ngoài ra, nhóm tấn công còn xác định và khai thác ứng dụng OAuth để di chuyển trong hạ tầng cloud và thực hiện các hành vi hậu khai thác như thu thập email.
Điểm mạnh trong chiến thuật tấn công của nhóm APT29 là sử dụng tài khoản người dùng đã bị xâm nhập để tạo, chỉnh sửa, và cấp quyền cao hơn cho ứng dụng OAuth. Điều này giúp nhóm APT29 duy trì kết nối với ứng dụng ngay cả khi mất quyền truy cập vào tài khoản ban đầu. Cuối cùng, ứng dụng OAuth độc hại được sử dụng để xác thực vào Microsoft Exchange Online và tấn công tài khoản email doanh nghiệp của Microsoft để thu thập thông tin.
Trong cuộc tấn công vào Microsoft tháng 11/2023, nhóm APT29 đã dùng kỹ thuật password spray (kỹ thuật chỉ sử dụng một mật khẩu phổ biến để dò đoán cho tất cả tài khoản tồn tại trong hệ thống) để xâm nhập vào một tài khoản kiểm thử không có xác thực hai yếu tố. Sau đó, chúng sử dụng tài khoản này để xác định và xâm nhập vào một ứng dụng Oauth thử nghiệm có đặc quyền cao trong môi trường doanh nghiệp Microsoft và cấp cho nó quyền full_access_as_app trong Office 365 Exchange Online để truy cập hộp thư.
Cuộc tấn công được thực hiện từ một hạ tầng proxy dân cư phân tán nhằm ẩn danh, cho phép kẻ tấn công thực hiện các thao tác với tài khoản và ứng dụng Exchange Online thông qua dải địa IP được sử dụng bởi nhiều người dùng hợp pháp khác.