Nyheter, Prylar, Android, Mobiler, Appnedladdningar, Android

Ryska APT29 Utnyttja Azure MFA för att hacka Microsoft 365-konton

Forskare vid Mandiant hittade en ny kampanj från Cozy Bear – en rysk statsstödd hackergrupp även känd som APT29 – som riktar sig till Enterprise Microsoft 365-konton för att stjäla data.

Hotaktören ses utnyttja MFA i Microsofts Azure Directory, inaktivera Purview Audit-säkerhet och kontaminera loggarna för att dölja dess aktiviteter från analytiker. Forskare har släppt taktik, tekniker och procedurer av denna senaste kampanj för att fastställa och innehålla dem.

Hacka Legit Microsoft Services

Bland de många statsstödda hackargrupperna vi ser nu är Rysslands APT29 (även kallad Cozy Bear eller Nobelium) några av de framstående hotaktörerna. De har ständigt attackerat tjänstemän i Nato-länder för att stjäla känslig data.

De riktar sig huvudsakligen mot sina Office 365-konton, som bär känslig kommunikation. Nu, Mandiantforskare har hittat att APT29-gänget utnyttjar Azure-tjänster för att komma in på deras måls Microsoft 365-konton och dölja deras spår.

Till exempel är Microsoft 365 en molnbaserad produktivitetssvit som körs på Azure Cloud och riktar sig till företag. Och alla som självregistrerar sig i Azure Directory för första gången kommer att bli ombedd att registrera MFA tillsammans.

Och eftersom sådana konton uppfyller säkerhetskraven för Azure tillåter sviten användare att komma åt organisationens VPN-infrastruktur med mindre invändningar. Och det här är precis vad APT29 ville, att ströva fritt i det komprometterade nätverket.

De har sett brute-force-referenserna för konton som aldrig loggat in på en domän och nyregistrerat sina enheter till MFA. Med denna åtkomst fortsätter hotaktören att gå in och inaktivera Purview revision – en säkerhetsfunktion av högre kvalitet i Microsoft 365-sviten som loggar in användaragenter, IP-adresser, tidsstämplar och användarnamn varje gång de får tillgång till ett e-postmeddelande.

Att inaktivera detta kommer inte att lyfta några flaggor när du kommer åt offrets brevlådor. Och sist, de kommer att använda de virtuella Azure-datorerna för att “kontaminera” loggar med Microsofts IP-adresser – som är äkta och svåra att skilja från skadlig trafik från hotaktörer.

De fördunklar ytterligare Azure AD-administratörsaktiviteten genom att blanda deras skadliga åtgärder med applikationsadress-URL:er, vilket gör det svårare för Defender-tjänster eller analytiker att flagga aktiviteterna.