29 SolarWinds saldırısının arkasındaki Rus hacker grubu APT2021'a yönelik yeni Mandiant araştırması, saldırganların yeni taktikler benimsediğini ve aktif olarak Microsoft 365'i hedeflemeye devam ettiğini gösteriyor.
APT29'un önceki kurbanları, özellikle de nüfuzu veya NATO ülkeleri ile yakın bağları olanları yeniden hedeflediği gözlemlendi. Bu, siber suçluların ısrarcı, saldırgan olduklarını ve teknik becerilerini daha da geliştirmek için kendilerini büyük ölçüde adadıklarını gösteriyor.
Operasyonel güvenliğe odaklanın
APT29, olağanüstü operasyonel güvenlik ve kaçınma taktikleri sergilemeye devam ediyor. Mandiant, kurban ortamlarına son erişimlerini gizlemek için evlerde proxy kullanmanın yanı sıra APT29'un Azure Sanal Makinelere yöneldiğini gözlemledi. APT29 tarafından kullanılan sanal makineler, mağdur kuruluş dışındaki Azure aboneliklerinde bulunur.
Mandiant, bu aboneliklerin gizliliğinin ihlal edilip edilmediğinin veya APT29 tarafından satın alınıp alınmadığının farkında değil. Güvenilir Microsoft IP adreslerinden son kilometreye erişim elde etmek, tespit edilme olasılığını azaltır. Microsoft 365'in kendisi Azure üzerinde çalıştığından, Azure AD oturum açma ve birleştirilmiş denetim günlükleri zaten çok sayıda Microsoft IP adresi içerir ve bir IP adresinin kötü amaçlı bir VM ile ilişkili olup olmadığını veya bir M365 arka uç hizmetine ait olup olmadığını hızlı bir şekilde belirlemek zor olabilir.
Mandiant'ın araştırmasından içgörüler
- Yeni taktikler, Microsoft'ta Purview Denetimini devre dışı bırakmayı içerir. Purview Denetim Lisansı, bir siber suçlunun belirli bir posta kutusuna erişip erişmediğini belirlemek için önemli bir günlük kaynağıdır. Erişim elde ederek ve bu lisansı devre dışı bırakarak APT29, grubun varlıklarının herhangi bir izini esasen silmesine izin verir.
- Başka bir taktik, Azure Active Directory'de çok faktörlü kimlik doğrulaması (MFA) için kendi kendine kayıt sürecini kullanmaktır. APT29, bir posta kutusu listesine karşı parola tahmin etme saldırısını başarıyla başlattıktan sonra, bilgisayar korsanları etkin olmayan bir hesapla MFA'ya kaydolmayı başardı. Kaydolduktan sonra APT29, hesabı şirketin VPN altyapısına erişmek için kullanabildi.
Mandiant raporun tamamını İngilizce blogunda sunuyor
Mandiant.com'da daha fazlası
müşteriler hakkında Mandiant, dinamik siber savunma, tehdit istihbaratı ve olay müdahalesinde tanınmış bir liderdir. Siber cephede onlarca yıllık deneyimiyle Mandiant, kuruluşların siber tehditlere karşı güvenle ve proaktif bir şekilde savunma yapmasına ve saldırılara yanıt vermesine yardımcı olur. Mandiant artık Google Cloud'un bir parçasıdır.