Российские хакеры используют службы Azure для взлома аккаунтов Microsoft 365

Исследователи кибербезопасности компании Mandiant обнаружили, что поддерживаемая государством российская хакерская группа APT29, также известная как Cozy Bear или Nobelium, активно нацеливается на аккаунты Microsoft 365 в США и организациях, связанных с НАТО, в шпионских кампаниях для кражи конфиденциальных данных.

Mandiant, которая отслеживает APT29 как минимум с 2014 года, отметила, что российская шпионская группа “использует новые тактики и агрессивно нацеливается на Microsoft 365 в атаках, которые демонстрируют исключительную оперативную безопасность и уклонение”.

Компания выделила некоторые новые продвинутые TTP (тактики, техники и процедуры) APT29 в отчете, опубликованном в четверг.

Для злоумышленника одной из самых проблемных функций безопасности журналирования является Purview Audit, более высокая функция безопасности в пакете Microsoft 365. Эта функция, доступная с лицензиями E5 и определенными дополнениями, позволяет проводить аудит доступа к почтовым элементам. Mail Items Accessed записывает строку user-agent, временную метку, IP-адрес и пользователя каждый раз, когда почтовый элемент открывается независимо от программы (Outlook, браузер, Graph API).

Mandiant наблюдала, что APT29 смогла отключить Purview Audit на целевых аккаунтах в скомпрометированном арендаторе, чтобы нацелиться на входящие сообщения для сбора электронной почты.

“Как только функция отключена, они начинают нацеливаться на входящие сообщения для сбора электронной почты. На этом этапе у организации нет доступных журналов, чтобы подтвердить, какие аккаунты злоумышленник нацелил для сбора электронной почты и когда. Учитывая нацеливание и TTP APT29, Mandiant считает, что сбор электронной почты является наиболее вероятной деятельностью после отключения Purview Audit,” говорится в отчете, опубликованном Mandiant.

“Мы обновили нашу белую книгу по стратегиям устранения и усиления безопасности для Microsoft 365, чтобы включить больше деталей по этой технике, а также советы по обнаружению и устранению. Кроме того, мы обновили Azure AD Investigator с новым модулем для отчета о пользователях с отключенным расширенным аудитом.”

Исследователи также обнаружили еще одну продвинутую новую тактику, используемую APT29, которая использует процесс самозаписи для многофакторной аутентификации (MFA) в Azure Active Directory (AD).

Этот метод злоупотребляет отсутствием строгого контроля за новыми записями MFA в конфигурации по умолчанию Azure AD, что означает, что любой, кто знает имя пользователя и пароль, может получить доступ к аккаунту из любого места и с любого устройства для записи MFA, если он является первым, кто это делает.

“В одном случае APT29 провела атаку на угадывание пароля против списка почтовых ящиков, которые они получили неизвестным образом. Злоумышленник успешно угадал пароль к аккаунту, который был настроен, но никогда не использовался. Поскольку аккаунт был неактивным, Azure AD предложил APT29 зарегистрироваться в MFA. После регистрации APT29 смогла использовать аккаунт для доступа к инфраструктуре VPN организации, которая использовала Azure AD для аутентификации и MFA,” продолжается отчет.

Наконец, Mandiant наблюдала, как APT29 использует виртуальные машины Azure (VM). Виртуальные машины, используемые APT29, существуют в подписках Azure вне организации-жертвы. Неясно, скомпрометировала ли группа злоумышленников или приобрела эти подписки.

Группа также была замечена, смешивающей безобидные административные действия с их злонамеренными, чтобы запутать любого, кто мог бы находиться на их пути.

“Например, в недавнем расследовании APT29 получила доступ к аккаунту глобального администратора в Azure AD. Они использовали аккаунт, чтобы установить заднюю дверь в сервисный принципал с правами ApplicationImpersonation и начать собирать электронную почту из целевых почтовых ящиков в арендаторе,” добавил отчет.

После добавления APT29 смогла аутентифицироваться в Azure AD как сервисный принципал и использовать свои роли для сбора электронной почты. Чтобы слиться с окружением, APT29 создала сертификат с Общим именем (CN), которое соответствовало отображаемому имени заднего сервиса принципала, и добавила новый URL-адрес приложения к нему.

“APT29 продолжает развивать свои технические навыки и приверженность строгой оперативной безопасности. Mandiant ожидает, что APT29 будет идти в ногу с развитием техник и тактик для доступа к Microsoft 365 новыми и скрытными способами,” заключает отчет.