Russische Hacker nutzen Azure-Dienste aus, um Microsoft 365-Konten zu hacken

Forscher der Cybersicherheitsfirma Mandiant haben entdeckt, dass die staatlich unterstützte russische Hackergruppe APT29, auch bekannt als Cozy Bear oder Nobelium, aktiv Microsoft 365-Konten in den USA und NATO-verbundenen Organisationen in Spionagekampagnen angreift, um sensible Daten zu stehlen.

Mandiant, das APT29 seit mindestens 2014 verfolgt, wies darauf hin, dass die russische Spionagegruppe „neue Taktiken anwendet und Microsoft 365 aggressiv in Angriffen anvisiert, die außergewöhnliche operationale Sicherheit und Ausweichstrategien demonstrieren“.

Das Unternehmen hob einige der neuen fortgeschrittenen TTPs (Taktiken, Techniken und Verfahren) von APT29 in einem am Donnerstag veröffentlichten Bericht hervor.

Für einen Bedrohungsakteur ist eine der problematischsten Sicherheitsfunktionen zur Protokollierung Purview Audit, eine höherwertige Sicherheitsfunktion in der Microsoft 365-Suite. Diese Funktion, die mit E5-Lizenzen und bestimmten Add-Ons verfügbar ist, ermöglicht das Audit von Mail Items Accessed. Mail Items Accessed protokolliert die Benutzer-Agent-Zeichenfolge, den Zeitstempel, die IP-Adresse und den Benutzer jedes Mal, wenn ein Mail-Element unabhängig vom Programm (Outlook, Browser, Graph API) aufgerufen wird.

Mandiant beobachtete, dass APT29 in der Lage war, Purview Audit auf gezielten Konten in einem kompromittierten Mandanten zu deaktivieren, um das Postfach für die E-Mail-Sammlung anzuvisieren.

„Sobald es deaktiviert ist, beginnen sie, das Postfach für die E-Mail-Sammlung anzuvisieren. Zu diesem Zeitpunkt gibt es keine Protokollierung, die der Organisation zur Verfügung steht, um zu bestätigen, welche Konten der Bedrohungsakteur für die E-Mail-Sammlung anvisiert hat und wann. Angesichts der Zielsetzung und TTPs von APT29 glaubt Mandiant, dass die E-Mail-Sammlung die wahrscheinlichste Aktivität nach der Deaktivierung von Purview Audit ist“, heißt es in dem von Mandiant veröffentlichten Bericht.

„Wir haben unser Whitepaper zu Remediation und Härtungsstrategien für Microsoft 365 aktualisiert, um mehr Details zu dieser Technik sowie zu Erkennungs- und Abhilfemaßnahmen aufzunehmen. Darüber hinaus haben wir den Azure AD Investigator mit einem neuen Modul aktualisiert, um über Benutzer mit deaktivierter erweiterter Protokollierung zu berichten.“

Die Forscher entdeckten auch eine weitere fortgeschrittene neue Taktik, die von APT29 verwendet wird und die den Selbstregistrierungsprozess für die Multi-Faktor-Authentifizierung (MFA) in Azure Active Directory (AD) ausnutzt.

Diese Methode missbraucht das Fehlen einer strengen Durchsetzung neuer MFA-Registrierungen in der Standardkonfiguration von Azure AD, was bedeutet, dass jeder mit Kenntnis des Benutzernamens und des Passworts von jedem Standort und jedem Gerät auf das Konto zugreifen kann, um MFA zu registrieren, solange er die erste Person ist, die dies tut.

„In einem Fall führte APT29 einen Passwort-Ratenangriff gegen eine Liste von Postfächern durch, die sie durch unbekannte Mittel erhalten hatten. Der Bedrohungsakteur erriet erfolgreich das Passwort für ein Konto, das eingerichtet, aber nie verwendet worden war. Da das Konto inaktiv war, forderte Azure AD APT29 auf, sich für MFA zu registrieren. Nach der Registrierung konnte APT29 das Konto nutzen, um auf die VPN-Infrastruktur der Organisation zuzugreifen, die Azure AD für die Authentifizierung und MFA verwendete“, heißt es weiter im Bericht.

Zuletzt hat Mandiant beobachtet, dass APT29 Azure Virtual Machines (VMs) verwendet. Die von APT29 verwendeten virtuellen Maschinen existieren in Azure-Abonnements außerhalb der Opferorganisation. Es ist unklar, ob die Bedrohungsakteurgruppe diese Abonnements kompromittiert oder erworben hat.

Die Gruppe wurde auch dabei beobachtet, wie sie harmlose administrative Aktionen mit ihren bösartigen vermischte, um Verwirrung bei jedem zu stiften, der sich auf ihrem Weg befindet.

„Zum Beispiel erhielt APT29 in einer aktuellen Untersuchung Zugriff auf ein globales Administratorkonto in Azure AD. Sie nutzten das Konto, um einen Dienstprinzipal mit ApplicationImpersonation-Rechten zu hinterlegen und begannen, E-Mails aus gezielten Postfächern im Mandanten zu sammeln“, fügte der Bericht hinzu.

Nachdem sie hinzugefügt wurden, konnte APT29 sich als der Dienstprinzipal bei Azure AD authentifizieren und seine Rollen nutzen, um E-Mails zu sammeln. Um sich einzufügen, erstellte APT29 das Zertifikat mit einem Common Name (CN), der mit dem Anzeigenamen des hinterlegten Dienstprinzipals übereinstimmte, und fügte ihm eine neue Anwendungsadress-URL hinzu.

„APT29 entwickelt weiterhin sein technisches Handwerk und sein Engagement für strenge operationale Sicherheit. Mandiant erwartet, dass APT29 mit der Entwicklung von Techniken und Taktiken Schritt halten wird, um auf Microsoft 365 auf neuartige und heimliche Weise zuzugreifen“, schließt der Bericht.