Microsoft опубликовала “разъяснение” по поводу китайской группировки Storm-0558 и того, как она недавно смогла взломать учетки госслужащих США, включая госдепартамент и министерство торговли.
TL;DR взлом произошел с использованием трех уязвимостей в Exchange Online и Azure Active Directory. Что странно — это усилия, которые применяет Microsoft, чтобы не называть эти уязвимости zero day. При этом хакеры использовали ключ подписи от потребительского облачного сервиса, но при этом злоумышленники смогли использовать его для подписи токенов AAD.
www.microsoft.com/en-us/s…l-access
Апд. Раз уж я правлю опечатку по наводке читателя, вот еще пару ссылок на тему того, что же это за взлом.
www.cisa.gov/news-ev…a23-193acyberscoop.com/microso…ng-state
Analysis of the techniques used by the threat actor tracked as Storm-0558 for obtaining unauthorized access to email data, tools, and unique infrastructure characteristics.