Microsoft 365 im Visier von russischer Hackergruppe APT29

Beitrag teilen

Eine neue Recherche von Mandiant zur russischen Hackergruppe APT29, die hinter dem SolarWinds-Angriff aus 2021 steckt, zeigt, dass die Angreifer neue Taktiken anwenden und weiterhin aktiv auf Microsoft 365 abzielen.

Außerdem konnte beobachtet werden, dass APT29 frühere Opfer erneut angreift – insbesondere diejenigen, die Einfluss auf oder enge Verbindungen zu NATO-Ländern haben. Dies zeigt, dass die Cyberkriminellen hartnäckig, aggressiv und mit viel Engagement ihre technischen Fähigkeiten weiterentwickeln.

Anzeige

Fokus auf Betriebssicherheit

APT29 demonstriert weiterhin außergewöhnliche Betriebssicherheit und Ausweichtaktiken. Zusätzlich zur Verwendung von Proxys in Privathaushalten, um ihren letzten Zugang zu Opferumgebungen zu verschleiern, hat Mandiant beobachtet, dass APT29 sich Azure Virtual Machines zuwendet. Die von APT29 verwendeten virtuellen Maschinen existieren in Azure-Abonnements außerhalb der Opferorganisation.

Mandiant ist nicht bekannt, ob diese Abonnements kompromittiert oder von APT29 gekauft wurden. Die Beschaffung des Zugriffs auf der letzten Meile von vertrauenswürdigen Microsoft-IP-Adressen verringert die Wahrscheinlichkeit einer Erkennung. Da Microsoft 365 selbst auf Azure ausgeführt wird, enthalten die Azure AD-Anmelde- und Unified-Audit-Protokolle bereits viele Microsoft-IP-Adressen, und es kann schwierig sein, schnell festzustellen, ob eine IP-Adresse zu einer bösartigen VM oder einem M365-Back-End-Dienst gehört.

Erkenntnisse der Recherchen von Mandiant

  • Zu den neuen Taktiken gehört die Deaktivierung von Purview Audit in Microsoft. Die Purview Audit-Lizenz ist eine wichtige Protokollquelle, um festzustellen, ob ein Cyberkrimineller auf ein bestimmtes Postfach zugreift. Indem APT29 sich Zugang verschafft und diese Lizenz deaktiviert, kann die Gruppe im Wesentlichen jede Spur ihrer Anwesenheit verwischen.
  • Eine andere Taktik ist die Ausnutzung des Selbstregistrierungsprozesses für die Multi-Faktor-Authentifizierung (MFA) im Azure Active Directory. Nachdem APT29 erfolgreich einen Angriff zum Erraten von Passwörtern gegen eine Liste von Postfächern durchgeführt hatte, konnten die Hacker sich mit einem inaktiven Konto für die MFA registrieren. Nach der Registrierung konnte APT29 das Konto nutzen, um auf die VPN-Infrastruktur des Unternehmens zuzugreifen.

Den vollständigen Bericht bietet Mandiant in seinem englischsprachigen Blog an

Mehr bei Mandiant.com

 


Über Mandiant

Mandiant ist ein anerkannter Marktführer für dynamische Cyberabwehr, Threat Intelligence und Incident Response. Mit jahrzehntelanger Erfahrung an vorderster Cyberfront hilft Mandiant Unternehmen dabei, sich selbstbewusst und proaktiv gegen Cyber-Bedrohungen zu verteidigen und auf Angriffe zu reagieren. Mandiant ist jetzt Teil von Google Cloud.


 

Passende Artikel zum Thema

BKA sprengt Hackerportale mit zehn Millionen Nutzern

In der gemeinsamen Operation Talent hat die ZIT und das BKA als deutsche Beteiligung gleich zwei Hackerportale mit Cracking- & ➡ Weiterlesen

Lexmark-Geräte mit fünf gefährlichen Schwachstellen

Anbieter Lexmark meldet eine kritische und vier hochgefährliche Schwachstellen für seine Geräte. Bei allen lässt sich Remote-Code ausführen, bei der ➡ Weiterlesen

Cyberspionage: Europäische Behörden im Visier – auch Deutschland

Security-Experten haben eine Cyberspionage gegen europäische Behörden entdeckt. Hinter den Angriffen stecken möglicherweise russische Gruppen die auch Behörden in Deutschland ➡ Weiterlesen

SonicWall Firewall-Appliance mit kritischer Schwachstelle

SonicWall informiert über eine kritische 9.8 Schwachstelle in der Appliance vom Typ SMA1000. SonicWall stellt ein entsprechendes Update bereit, welches ➡ Weiterlesen

Angriffe 2024: Anmeldedaten waren häufigstes Ziel

Ein Report hat Cyberattacken in 2024 analysiert und dabei festgestellt: Die meisten Angreifer brechen nicht ein, sondern loggen sich mit ➡ Weiterlesen

Microsoft Teams: E-Mail-Bombing und Voice Phishing

Cyberkriminelle missbrauchen Microsoft Teams als Einfallstor für ihre Angriffe. Sie versuchen dann Daten abzuziehen oder Ransomware zu platzieren. Mit im ➡ Weiterlesen

Sicherheitszertifizierung FIPS 140-3 Level 3

Ein Spezialist für hardwareverschlüsselte USB-Laufwerke und die zentrale USB-Laufwerksverwaltung SafeConsole, ist mit mehreren Speichergeräten auf der FIPS 140-3 Modules-In-Process-Liste der ➡ Weiterlesen

Die Hacker-Gruppe FunkSec

Ein Pionier bei Cyber-Sicherheitslösungen wirft einen Blick auf die Ransomware-Gruppe FunkSec aus Algerien. Sie war im Dezember 2024 die aktivste ➡ Weiterlesen