Microsoft 365 रूसी हैकर समूह APT29 द्वारा लक्षित है

29 SolarWinds हमले के पीछे रूसी हैकर समूह APT2021 में नए मैंडिएंट शोध से पता चलता है कि हमलावर नई रणनीति अपना रहे हैं और Microsoft 365 को सक्रिय रूप से लक्षित करना जारी रखते हैं।

APT29 को पिछले पीड़ितों को फिर से लक्षित करते हुए भी देखा गया है - विशेष रूप से नाटो देशों के प्रभाव या करीबी संबंधों वाले। इससे पता चलता है कि साइबर अपराधी लगातार, आक्रामक और अपने तकनीकी कौशल को और विकसित करने के लिए बहुत समर्पण के साथ हैं।

परिचालन सुरक्षा पर ध्यान दें

APT29 असाधारण परिचालन सुरक्षा और टालमटोल की रणनीति का प्रदर्शन जारी रखे हुए है। पीड़ितों के वातावरण में उनकी हाल की पहुंच को अस्पष्ट करने के लिए घरों में प्रॉक्सी का उपयोग करने के अलावा, मैंडिएंट ने APT29 को एज़्योर वर्चुअल मशीनों की ओर मोड़ते हुए देखा है। APT29 द्वारा उपयोग की जाने वाली वर्चुअल मशीनें पीड़ित संगठन के बाहर Azure सब्सक्रिप्शन में मौजूद हैं।

मैंडिएंट को इस बात की जानकारी नहीं है कि इन सब्सक्रिप्शन से समझौता किया गया था या APT29 द्वारा खरीदा गया था। विश्वसनीय Microsoft IP पतों से अंतिम मील तक पहुँच प्राप्त करने से पहचान की संभावना कम हो जाती है। चूँकि Microsoft 365 स्वयं Azure पर चलता है, Azure AD साइन-इन और एकीकृत ऑडिट लॉग में पहले से ही कई Microsoft IP पते होते हैं, और यह जल्दी से निर्धारित करना मुश्किल हो सकता है कि कोई IP पता दुर्भावनापूर्ण VM से संबद्ध है या M365 बैकएंड सेवा से संबंधित है।

मैंडिएंट के शोध से अंतर्दृष्टि

• नई युक्तियों में Microsoft में Purview ऑडिट को अक्षम करना शामिल है। परव्यू ऑडिट लाइसेंस यह निर्धारित करने के लिए एक महत्वपूर्ण लॉग स्रोत है कि कोई साइबर अपराधी किसी विशिष्ट मेलबॉक्स तक पहुंच बना रहा है या नहीं। पहुँच प्राप्त करने और उस लाइसेंस को अक्षम करने से, APT29 समूह को उनकी उपस्थिति के किसी भी निशान को अनिवार्य रूप से मिटाने की अनुमति देता है।
• Azure Active Directory में मल्टी-फैक्टर ऑथेंटिकेशन (MFA) के लिए स्व-पंजीकरण प्रक्रिया का उपयोग करना एक अन्य युक्ति है। APT29 द्वारा मेलबॉक्सों की एक सूची के खिलाफ पासवर्ड-अनुमान लगाने वाले हमले को सफलतापूर्वक शुरू करने के बाद, हैकर्स एक निष्क्रिय खाते के साथ MFA के लिए साइन अप करने में सक्षम थे। पंजीकरण के बाद, APT29 कंपनी के वीपीएन इंफ्रास्ट्रक्चर तक पहुंचने के लिए खाते का उपयोग करने में सक्षम था।

मैंडिएंट अपने अंग्रेजी भाषा के ब्लॉग पर पूरी रिपोर्ट पेश करता है

Mandiant.com पर अधिक

 

---

ग्राहक के बारे में

मैंडिएंट गतिशील साइबर रक्षा, खतरे की खुफिया जानकारी और घटना की प्रतिक्रिया में एक मान्यता प्राप्त नेता है। साइबर फ्रंटलाइन पर दशकों के अनुभव के साथ, Mandiant संगठनों को आत्मविश्वास से और सक्रिय रूप से साइबर खतरों से बचाव करने और हमलों का जवाब देने में मदद करता है। मैंडियंट अब Google क्लाउड का हिस्सा है।

---

 

विषय से संबंधित लेख