Hackers Russos Exploraram Serviços Azure Para Invadir Contas Microsoft 365

Pesquisadores da empresa de cibersegurança Mandiant descobriram que o grupo de hackers russo apoiado pelo estado APT29, também conhecido como Cozy Bear ou Nobelium, está ativamente visando contas do Microsoft 365 nos EUA e organizações afiliadas à OTAN em campanhas de espionagem para roubar dados sensíveis.

A Mandiant, que vem monitorando o APT29 desde pelo menos 2014, apontou que o grupo de espionagem russo está “usando novas táticas e visando agressivamente o Microsoft 365 em ataques que demonstram excepcional segurança operacional e evasão”.

A empresa destacou algumas das novas TTPs (táticas, técnicas e procedimentos) avançadas do APT29 em um relatório publicado na quinta-feira.

Para um ator de ameaça, uma das características de segurança de registro mais problemáticas é o Purview Audit, uma característica de segurança de nível superior na suíte Microsoft 365. Essa característica, disponível com licenças E5 e certos complementos, habilita a auditoria de Itens de Email Acessados. Itens de Email Acessados registra a string do agente do usuário, timestamp, endereço IP e usuário cada vez que um item de email é acessado independentemente do programa (Outlook, navegador, Graph API).

A Mandiant observou que o APT29 foi capaz de desativar o Purview Audit em contas alvo em um locatário comprometido para direcionar a caixa de entrada para coleta de emails.

“Uma vez desativado, eles começam a direcionar a caixa de entrada para coleta de emails. Neste ponto, não há registro disponível para a organização confirmar quais contas o ator de ameaça visou para coleta de emails e quando. Dada a segmentação e as TTPs do APT29, a Mandiant acredita que a coleta de emails é a atividade mais provável após a desativação do Purview Audit,” diz o relatório publicado pela Mandiant.

“Atualizamos nosso whitepaper Estratégias de Remediação e Fortalecimento para Microsoft 365 para incluir mais detalhes sobre essa técnica, bem como conselhos de detecção e remediação. Além disso, atualizamos o Investigador do Azure AD com um novo módulo para relatar usuários com auditoria avançada desativada.”

Os pesquisadores também descobriram outra nova tática avançada empregada pelo APT29, que aproveita o processo de autoinscrição para autenticação multifatorial (MFA) no Azure Active Directory (AD).

Esse método abusa da ausência de aplicação rigorosa nas novas inscrições de MFA na configuração padrão do Azure AD, o que significa que qualquer pessoa com conhecimento do nome de usuário e senha pode acessar a conta de qualquer local e dispositivo para se inscrever no MFA, desde que seja a primeira pessoa a fazê-lo.

“Em um caso, o APT29 conduziu um ataque de adivinhação de senha contra uma lista de caixas de correio que haviam obtido por meios desconhecidos. O ator de ameaça adivinhou com sucesso a senha de uma conta que havia sido configurada, mas nunca usada. Como a conta estava inativa, o Azure AD solicitou ao APT29 que se inscrevesse no MFA. Uma vez inscrito, o APT29 foi capaz de usar a conta para acessar a infraestrutura de VPN da organização que estava usando o Azure AD para autenticação e MFA,” continua o relatório.

Por último, a Mandiant observou o APT29 usando Máquinas Virtuais (VMs) do Azure. As máquinas virtuais usadas pelo APT29 existem em assinaturas do Azure fora da organização vítima. Não está claro se o grupo de atores de ameaça comprometeu ou comprou essas assinaturas.

O grupo também foi observado misturando ações administrativas benignas com suas ações maliciosas para confundir qualquer um que pudesse estar em sua trajetória.

“Por exemplo, em uma investigação recente, o APT29 obteve acesso a uma conta de administrador global no Azure AD. Eles usaram a conta para backdoor um principal de serviço com direitos de ApplicationImpersonation e começaram a coletar emails de caixas de correio alvo no locatário,” acrescentou o relatório.

Uma vez adicionado, o APT29 foi capaz de se autenticar no Azure AD como o Principal de Serviço e usar seus papéis para coletar emails. Para se misturar, o APT29 criou o certificado com um Nome Comum (CN) que correspondia ao nome exibido do principal de serviço backdoored e adicionou uma nova URL de Endereço de Aplicação a ele.

“O APT29 continua a desenvolver seu ofício técnico e dedicação à segurança operacional rigorosa. A Mandiant espera que o APT29 continue acompanhando o desenvolvimento de técnicas e táticas para acessar o Microsoft 365 de maneiras novas e furtivas,” conclui o relatório.