国家支持的俄罗斯网络间谍组织 Cozy Bear 在 2022 年特别多产,目标是北约国家的 Microsoft 365 帐户并试图访问外交政策信息。
Microsoft 365 是一个基于云的生产力套件,主要由企业和企业实体使用,可促进协作、通信、数据存储、电子邮件、办公等。
一直在跟踪 Cozy Bear(又名 APT29 和 Nobelium)活动的 Mandiant 报告称,俄罗斯黑客一直在大力针对 Microsoft 365 帐户进行间谍活动。
研究人员警告说,俄罗斯组织继续展示卓越的操作安全性,以防止分析人员发现和暴露他们的攻击方法。
在今天发布的一份报告中, Mandiant 重点介绍了 APT29 的一些先进战术和一些最新的 TTP(战术、技术和程序)。
专注于 Microsoft 365
拥有更高级别 E5 许可证的 Microsoft 365 用户享受名为“Purview Audit”(以前称为高级审核)的安全功能。启用后,此功能会在每次独立于程序(Outlook、浏览器、Graph API)访问电子邮件时记录用户代理、IP 地址、时间戳和用户名。
像 APT29 这样的隐秘网络入侵者宁愿不追踪和记录他们的行动。因此,为了逃避对受感染帐户的审核,黑客甚至在目标用户触摸他们的邮件文件夹之前就禁用了 Purview Audit 功能。
Mandiant 在APT 29 白皮书中警告说:“这是确定威胁参与者是否正在访问特定邮箱以及确定暴露范围的关键日志源 。 ”
“当威胁参与者使用应用程序模拟或图形 API 等技术时,这是有效确定对特定邮箱的访问权限的唯一方法。”
Mandiant 的第二个有趣发现是 APT29 利用 Azure Active Directory (AD) 中的多因素身份验证 (MFA) 的自我注册过程。
当用户首次尝试使用自行注册策略登录域时,Windows 将提示他们在该帐户上启用 MFA。
俄罗斯黑客对从未登录域并将其设备注册到 MFA 的帐户的用户名和密码进行暴力攻击。
激活 MFA 满足了使用受感染组织的 VPN 基础设施的相关安全先决条件,因此 APT29 可以在受破坏的网络上自由漫游。
最后,Mandiant 观察到威胁组通过受感染的帐户或通过购买服务来隐藏他们的踪迹来使用 Azure 虚拟机。
Azure VM 使用 Microsoft IP 地址“污染”日志,并且由于 Microsoft 365 在 Azure 上运行,因此防御者很难区分常规流量和恶意行为。
APT29 通过混合恶意行为(例如后门服务以收集电子邮件并添加良性应用程序地址 URL)来进一步混淆其 Azure AD 管理员活动。
俄罗斯的前锋
APT29 是俄罗斯最熟练的黑客组织之一,Mandiant 最近的发现强调了其高度的准备和对目标软件功能的深入了解。
2022 年 1 月,CrowdStrike 发现 APT29 多年来绕过 O365 帐户 中的MFA 步骤,使用被盗的浏览器 cookie 劫持有效会话。
2022 年 5 月,Mandiant 发现 了一波 由特定威胁组织精心策划的网络钓鱼活动,针对欧洲各地的政府、大使馆和高级官员。
2022 年 7 月,Palo Alto Networks 分析师披露 APT29 滥用 Google Drive 和 Dropbox 云存储服务以实现更安全的恶意软件部署和数据泄露。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 俄罗斯APT29黑客滥用Azure服务入侵Microsoft 365用户
