Eyalet destekli Rus siber yemek grubu Cozy Bear, 2022'de NATO ülkelerindeki Microsoft 365 hesaplarını hedefleyen ve dış politika bilgilerine erişmeye çalışarak özellikle üretken olmuştur.
Microsoft 365, işbirliğini, iletişim, veri depolama, e-posta, ofis ve daha fazlasını kolaylaştıran, iş ve kurumsal kuruluşlar tarafından ağırlıklı olarak kullanılan bulut tabanlı bir verimlilik paketidir.
Rahat Bear (AKA APT29 ve Nobelium) faaliyetlerini izleyen Mantiant, Rus hackerların Casusluk kampanyalarında Microsoft 365 hesaplarını şiddetle hedeflediğini bildiriyor.
Araştırmacılar, Rus grubunun analistlerin saldırı yöntemlerini keşfetmesini ve ortaya çıkarmasını önlemek için olağanüstü operasyonel güvenlik göstermeye devam ettiği konusunda uyarıyorlar.
Bugün yayınlanan bir raporda Mandiant, APT29'un gelişmiş taktiklerinden bazılarını ve en yeni TTP'lerinden bazılarını (taktikler, teknikler ve prosedürler) vurgulamaktadır.
Yüksek dereceli E5 lisansındaki Microsoft 365 kullanıcıları, "Purview Denetimi" (eski adıyla Gelişmiş Denetim) adlı bir güvenlik özelliğinin tadını çıkarır. Etkinleştirildiğinde, bu özellik, programdan bağımsız olarak bir e -postaya (Outlook, Tarayıcı, Grafik API) her e -postaya erişildiğinde kullanıcı aracılarını, IP adreslerini, zaman damgalarını ve kullanıcı adlarını günlüğe kaydeder.
APT29 gibi gizli ağ davetsiz misafirleri hareketlerinin izlenmesi ve kaydedilmesini tercih etmez. Dolayısıyla, tehlikeye atılan hesaplardaki denetimlerden kaçınmak için, bilgisayar korsanları, posta klasörlerine bile dokunmadan önce hedeflenen bir kullanıcıdaki PurView denetim özelliğini devre dışı bırakır.
Mantiant'ı uygun bir 29 teknik incelemede uyarıyor, "Bu, bir tehdit oyuncunun belirli bir posta kutusuna erişip erişmediğini belirlemek ve maruz kalma kapsamını belirlemek için kritik bir günlük kaynağıdır."
Diyerek şöyle devam etti: "Tehdit oyuncusu uygulama taklit etme veya Grafik API gibi teknikleri kullanırken belirli bir posta kutusuna erişimi etkili bir şekilde belirlemenin tek yolu budur."
Mantiant'ın ikinci ilginç bulgusu APT29, Azure Active Directory'de (AD) Çok Faktörlü Kimlik Doğrulama (MFA) için kendi kayıt sürecinden yararlanıyor.
Kullanıcılar ilk kez kendi kendine kayıt politikalarına sahip bir etki alanında oturum açmaya çalıştıklarında, Windows onları hesapta MFA'yı etkinleştirmesini isteyecektir.
Rus hackerlar, alana hiç giriş yapmayan ve cihazlarını MFA'ya kaydetmeyen hesapların kullanıcı adlarına ve şifrelerine kaba kuvvet saldırıları gerçekleştirdi.
MFA'yı etkinleştirmek, tehlikeye atılan kuruluşun VPN altyapısını kullanmak için ilgili güvenlik ön koşulunu yerine getirir, bu nedenle APT29 ihlal edilen ağda dolaşmakta serbesttir.
Son olarak, Mantiant tehdit grubunu, tehlikeye atılan hesaplar aracılığıyla veya izlerini gizlemek için hizmeti satın alarak Azure sanal makinelerini kullanarak gözlemledi.
Azure VMS, Microsoft IP adresleriyle günlükleri "kirletiyor" ve Microsoft 365 Azure'da çalıştığından, savunucuların düzenli trafiği kötü niyetli eylemlerden ayırt etmesi zor.
APT29 ayrıca, benign uygulama adresi URL'lerinin eklenmesiyle e -postaları toplamak için geri kapı hizmetleri gibi kötü niyetli eylemleri karıştırarak Azure AD yönetici etkinliğini daha da gizler.
APT29, Rusya'nın en yetenekli hack gruplarından biridir ve Mantiant'ın son bulguları yüksek düzeyde hazırlık ve hedeflenen yazılım işlevleri hakkında derin bilginin altını çizmektedir.
Ocak 2022'de Crowdstrike, APT29'un, geçerli oturumları ele geçirmek için çalıntı tarayıcı çerezlerini kullanarak yıllarca O365 hesaplarında MFA adımlarını atladığını keşfetti.
Mayıs 2022'de Mantiant, Avrupa'daki hükümetleri, elçilikleri ve üst düzey yetkilileri hedefleyen, belirli bir tehdit grubu tarafından düzenlenen bir kimlik avı kampanyaları dalgasını ortaya çıkardı.
Temmuz 2022'de Palo Alto Networks analistleri, daha güvenli kötü amaçlı yazılım dağıtım ve veri açığa çıkması için Google Drive ve Dropbox bulut depolama hizmetlerini kötüye kullandığını açıkladı.
Bu 59,99 $ 'lık Anlaşmada Anahtar Microsoft Ürünlerinde 17 Kurs Alın
Rus SVR bilgisayar korsanları Google Drive, Dropbox'ı Kaçmak İçin Dropbox kullanıyor
Microsoft, düzinelerce Azure Site Kurtarma ayrıcalığını düzeltiyor.
Rusya'nın 'Oculus', yasaklı bilgi için siteleri taramak için yapay zekayı kullanmak
Microsoft, Rus bilgisayar korsanlarının NATO Hedefleri üzerindeki operasyonunu bozar
Kaynak: Bleeping Computer