附录 99.1

美国国家演员午夜暴雪袭击后微软行动的最新情况

/作者：MSRC/2024 年 3 月 8 日 /阅读 2 分钟

本博客提供了微软安全团队在 2024 年 1 月 12 日检测到的民族国家攻击的最新情况。正如我们分享的那样， 1 月 19 日，安全团队发现了对我们公司电子邮件系统的攻击，并立即启动了我们的响应流程。微软威胁情报调查确定威胁行为者是午夜暴雪， 俄罗斯国家赞助的演员也被称为NOBELIUM。

正如我们当时所说，我们的调查仍在进行中，我们将酌情提供更多细节。

最近几周，我们看到了证据，表明午夜暴雪正在使用最初从我们公司电子邮件系统中泄露的信息来获取或试图获得未经授权的访问。这包括访问公司的一些源代码存储库和内部系统。迄今为止，我们没有发现任何证据表明 Microsoft 托管的面向客户的系统遭到入侵。

很明显，午夜暴雪正试图使用它发现的不同类型的秘密。其中一些机密是客户与 Microsoft 通过电子邮件共享的 ，当我们在泄露的电子邮件中发现这些机密时，我们一直在并正在与这些客户接触，以帮助他们采取缓解措施。与我们在2024年1月看到的本已很大的攻击量相比，午夜暴雪在2月份将攻击的某些方面（例如密码喷雾）的数量增加了多达10倍。

Midnight Blizzards 持续攻击的特点是威胁行为者持续投入大量资源、协调和专注。 它可能正在利用所获得的信息来积累攻击区域的画面并增强其攻击能力。这反映了更广泛地说是前所未有的全球威胁格局，尤其是在复杂的 民族国家攻击方面。

在 Microsoft 中，我们增加了安全投资、跨企业协调和动员，并增强了我们 自卫、保护和强化环境抵御这种高级持续威胁的能力。我们已经并将继续加强安全控制、检测和监控。

我们对午夜暴雪活动的积极调查正在进行中，我们的调查结果将继续演变。我们仍然承诺 分享我们所学到的东西。