Gli hacker russi sfruttano i servizi Azure per hackerare gli account Microsoft 365

I ricercatori della società di cybersecurity Mandiant hanno scoperto che il gruppo di hacker sostenuto dallo stato russo APT29, noto anche come Cozy Bear o Nobelium, sta attivamente prendendo di mira gli account Microsoft 365 negli Stati Uniti e nelle organizzazioni affiliate alla NATO in campagne di spionaggio per rubare dati sensibili.

Mandiant, che sta monitorando APT29 almeno dal 2014, ha sottolineato che il gruppo di spionaggio russo sta “utilizzando nuove tattiche e prendendo di mira in modo aggressivo Microsoft 365 in attacchi che dimostrano un’eccezionale sicurezza operativa e capacità di evasione”.

L’azienda ha evidenziato alcune delle nuove TTP avanzate (tattiche, tecniche e procedure) di APT29 in un rapporto pubblicato giovedì.

Per un attore della minaccia, una delle funzionalità di sicurezza di registrazione più problematiche è Purview Audit, una funzionalità di sicurezza di grado superiore nella suite Microsoft 365. Questa funzionalità, disponibile con licenze E5 e alcuni componenti aggiuntivi, consente l’audit degli elementi di posta accessibili. Gli elementi di posta accessibili registrano la stringa dell’agente utente, il timestamp, l’indirizzo IP e l’utente ogni volta che un elemento di posta viene accesso indipendentemente dal programma (Outlook, browser, Graph API).

Mandiant ha osservato che APT29 è stato in grado di disabilitare Purview Audit sugli account mirati in un tenant compromesso per prendere di mira la casella di posta per la raccolta delle email.

“Una volta disabilitato, iniziano a prendere di mira la casella di posta per la raccolta delle email. A questo punto, non ci sono registrazioni disponibili per l’organizzazione per confermare quali account l’attore della minaccia ha preso di mira per la raccolta delle email e quando. Dato il targeting e le TTP di APT29, Mandiant ritiene che la raccolta delle email sia l’attività più probabile dopo la disabilitazione di Purview Audit,” si legge nel rapporto pubblicato da Mandiant.

“Abbiamo aggiornato il nostro whitepaper Strategie di rimedio e indurimento per Microsoft 365 per includere maggiori dettagli su questa tecnica, così come consigli per la rilevazione e il rimedio. Inoltre, abbiamo aggiornato l’Investigatore Azure AD con un nuovo modulo per segnalare gli utenti con l’audit avanzato disabilitato.”

I ricercatori hanno anche scoperto un’altra nuova tattica avanzata impiegata da APT29, che sfrutta il processo di auto-iscrizione per l’autenticazione a più fattori (MFA) in Azure Active Directory (AD).

Questo metodo abusa dell’assenza di un’applicazione rigorosa sulle nuove iscrizioni MFA nella configurazione predefinita di Azure AD, il che significa che chiunque abbia conoscenza del nome utente e della password può accedere all’account da qualsiasi posizione e dispositivo per iscriversi a MFA, purché sia la prima persona a farlo.

“In un caso, APT29 ha condotto un attacco di indovinazione della password contro un elenco di caselle di posta che avevano ottenuto attraverso mezzi sconosciuti. L’attore della minaccia ha indovinato con successo la password di un account che era stato impostato, ma mai utilizzato. Poiché l’account era inattivo, Azure AD ha invitato APT29 a iscriversi a MFA. Una volta iscritti, APT29 è stato in grado di utilizzare l’account per accedere all’infrastruttura VPN dell’organizzazione che utilizzava Azure AD per l’autenticazione e MFA,” continua il rapporto.

Infine, Mandiant ha osservato APT29 utilizzare Macchine Virtuali (VM) Azure. Le macchine virtuali utilizzate da APT29 esistono in abbonamenti Azure al di fuori dell’organizzazione vittima. Non è chiaro se il gruppo di attori della minaccia abbia compromesso o acquistato questi abbonamenti.

Il gruppo è stato anche osservato mentre mescolava azioni amministrative benigne con quelle malevole per confondere chiunque potesse essere sulla sua traiettoria.

“Ad esempio, in un’indagine recente APT29 ha ottenuto accesso a un account di amministratore globale in Azure AD. Hanno utilizzato l’account per inserire un backdoor a un servizio principale con diritti di ApplicationImpersonation e iniziare a raccogliere email da caselle di posta mirate nel tenant,” ha aggiunto il rapporto.

Una volta aggiunto, APT29 è stato in grado di autenticarsi in Azure AD come il Servizio Principale e utilizzare i suoi ruoli per raccogliere email. Per mimetizzarsi, APT29 ha creato il certificato con un Nome Comune (CN) che corrispondeva al nome visualizzato del servizio principale backdoorato e ha aggiunto un nuovo URL di Indirizzo Applicazione ad esso.

“APT29 continua a sviluppare il suo mestiere tecnico e la dedizione a una rigorosa sicurezza operativa. Mandiant si aspetta che APT29 rimanga al passo con lo sviluppo di tecniche e tattiche per accedere a Microsoft 365 in modi nuovi e furtivi,” conclude il rapporto.