Нове дослідження Mandiant щодо російської хакерської групи APT29, яка здійснила атаку на SolarWinds у 2021 році, показує, що зловмисники застосовують нову тактику та продовжують активно атакувати Microsoft 365.
Також було помічено, що APT29 перенацілюється на попередніх жертв, особливо на тих, хто має вплив або тісні зв’язки з країнами НАТО. Це свідчить про те, що кіберзлочинці наполегливі, агресивні та з великою відданістю розвивають свої технічні навички.
Зосередьтеся на безпеці експлуатації
APT29 продовжує демонструвати виняткову оперативну безпеку та тактику ухилення. На додаток до використання проксі-серверів у домівках, щоб приховати їхній недавній доступ до середовищ жертв, Mandiant спостерігав, як APT29 звертається до віртуальних машин Azure. Віртуальні машини, які використовує APT29, існують у підписках Azure за межами організації-жертви.
Mandiant не знає, чи були ці підписки зламані чи куплені APT29. Отримання доступу до останньої милі з надійних IP-адрес Microsoft зменшує ймовірність виявлення. Оскільки сама Microsoft 365 працює на Azure, журнали входу в Azure AD і уніфіковані журнали аудиту вже містять багато IP-адрес Microsoft, і може бути важко швидко визначити, чи IP-адреса пов’язана зі зловмисною віртуальною машиною чи належить серверній службі M365.
Статті дослідження Mandiant
- Нова тактика включає в себе відключення аудиту прав у Microsoft. Ліцензія Purview Audit License є важливим джерелом журналу для визначення того, чи має кіберзлочинець доступ до певної поштової скриньки. Отримавши доступ і вимкнувши цю ліцензію, APT29 дозволяє групі по суті стерти будь-які сліди своєї присутності.
- Ще одна тактика — використання процесу самореєстрації для багатофакторної автентифікації (MFA) в Azure Active Directory. Після того, як APT29 успішно запустив атаку на список поштових скриньок за допомогою підбору пароля, хакери змогли зареєструватися в MFA з неактивним обліковим записом. Після реєстрації APT29 зміг використовувати обліковий запис для доступу до інфраструктури VPN компанії.
Mandiant пропонує повний звіт у своєму англомовному блозі
Більше на Mandiant.com
Про клієнта Mandiant є визнаним лідером у сфері динамічного кіберзахисту, аналізу загроз та реагування на інциденти. Маючи десятиліття досвіду на кіберфронтовій лінії, Mandiant допомагає організаціям впевнено та проактивно захищатися від кіберзагроз і реагувати на атаки. Тепер Mandiant є частиною Google Cloud.