A nova pesquisa da Mandiant sobre o grupo de hackers russo APT29 por trás do ataque SolarWinds de 2021 mostra que os invasores estão adotando novas táticas e continuam a atacar ativamente o Microsoft 365.
O APT29 também foi observado redirecionando vítimas anteriores - particularmente aquelas com influência ou laços estreitos com os países da OTAN. Isso mostra que os cibercriminosos são persistentes, agressivos e com muita dedicação para desenvolver ainda mais suas habilidades técnicas.
Foco na segurança operacional
O APT29 continua a demonstrar segurança operacional excepcional e táticas evasivas. Além de usar proxies em residências para ofuscar seu acesso recente a ambientes de vítimas, a Mandiant observou o APT29 se voltando para as Máquinas Virtuais do Azure. As máquinas virtuais usadas pelo APT29 existem em assinaturas do Azure fora da organização vítima.
A Mandiant não sabe se essas assinaturas foram comprometidas ou compradas pelo APT29. Obter acesso até a última milha de endereços IP confiáveis da Microsoft reduz a probabilidade de detecção. Como o próprio Microsoft 365 é executado no Azure, a entrada do Azure AD e os logs de auditoria unificados já contêm muitos endereços IP da Microsoft e pode ser difícil determinar rapidamente se um endereço IP está associado a uma VM maliciosa ou a um serviço de back-end do M365.
Insights da pesquisa da Mandiant
- Novas táticas incluem desabilitar o Purview Audit na Microsoft. A Purview Audit License é uma fonte de log importante para determinar se um cibercriminoso está acessando uma caixa de correio específica. Ao obter acesso e desabilitar essa licença, o APT29 permite que o grupo apague essencialmente qualquer vestígio de sua presença.
- Outra tática é explorar o processo de autorregistro para autenticação multifator (MFA) no Azure Active Directory. Depois que o APT29 lançou com sucesso um ataque de adivinhação de senha contra uma lista de caixas de correio, os hackers conseguiram se inscrever no MFA com uma conta inativa. Após o registro, o APT29 conseguiu usar a conta para acessar a infraestrutura VPN da empresa.
A Mandiant oferece o relatório completo em seu blog em inglês
Mais em Mandiant.com
Sobre clientes A Mandiant é uma líder reconhecida em defesa cibernética dinâmica, inteligência de ameaças e resposta a incidentes. Com décadas de experiência na linha de frente cibernética, a Mandiant ajuda as organizações a se defenderem com confiança e proatividade contra ameaças cibernéticas e a responderem a ataques. A Mandiant agora faz parte do Google Cloud.