De nouvelles recherches de Mandiant sur le groupe de hackers russe APT29 à l'origine de l'attaque SolarWinds de 2021 montrent que les attaquants adoptent de nouvelles tactiques et continuent de cibler activement Microsoft 365.
APT29 a également été observé en train de recibler d'anciennes victimes - en particulier celles qui ont de l'influence ou des liens étroits avec les pays de l'OTAN. Cela montre que les cybercriminels sont persistants, agressifs et déterminés à développer davantage leurs compétences techniques.
Accent mis sur la sécurité opérationnelle
APT29 continue de faire preuve d'une sécurité opérationnelle exceptionnelle et de tactiques d'évitement. En plus d'utiliser des proxys dans les maisons pour obscurcir leur accès récent aux environnements des victimes, Mandiant a observé qu'APT29 se tournait vers les machines virtuelles Azure. Les machines virtuelles utilisées par APT29 existent dans des abonnements Azure en dehors de l'organisation victime.
Mandiant ne sait pas si ces abonnements ont été compromis ou achetés par APT29. L'accès au dernier kilomètre à partir d'adresses IP Microsoft de confiance réduit la probabilité de détection. Étant donné que Microsoft 365 lui-même s'exécute sur Azure, la connexion Azure AD et les journaux d'audit unifiés contiennent déjà de nombreuses adresses IP Microsoft, et il peut être difficile de déterminer rapidement si une adresse IP est associée à une machine virtuelle malveillante ou si un service backend M365 appartient.
Aperçus des recherches de Mandiant
- Les nouvelles tactiques incluent la désactivation de Purview Audit dans Microsoft. La licence d'audit Purview est une source de journal importante pour déterminer si un cybercriminel accède à une boîte aux lettres spécifique. En accédant et en désactivant cette licence, APT29 permet au groupe d'effacer essentiellement toute trace de sa présence.
- Une autre tactique consiste à exploiter le processus d'auto-inscription pour l'authentification multifacteur (MFA) dans Azure Active Directory. Après qu'APT29 a lancé avec succès une attaque de devinette de mot de passe contre une liste de boîtes aux lettres, les pirates ont pu s'inscrire à MFA avec un compte inactif. Après s'être enregistré, APT29 a pu utiliser le compte pour accéder à l'infrastructure VPN de l'entreprise.
Mandiant propose le rapport complet sur son blog en anglais
Plus sur Mandiant.com
À propos des clients Mandiant est un leader reconnu de la cyberdéfense dynamique, des renseignements sur les menaces et de la réponse aux incidents. Avec des décennies d'expérience sur la cyber ligne de front, Mandiant aide les organisations à se défendre en toute confiance et de manière proactive contre les cybermenaces et à répondre aux attaques. Mandiant fait désormais partie de Google Cloud.