Η υποστηριζόμενη από το κράτος ρωσική ομάδα κυβερνοκατασκοπείας Cozy Bear ήταν ιδιαίτερα παραγωγική το 2022, στοχεύοντας λογαριασμούς Microsoft 365 σε χώρες του ΝΑΤΟ και προσπαθώντας να αποκτήσει πρόσβαση σε πληροφορίες εξωτερικής πολιτικής.

Το Microsoft 365 είναι μια σουίτα παραγωγικότητας που βασίζεται σε σύννεφο που χρησιμοποιείται κατά κύριο λόγο από επιχειρήσεις και επιχειρήσεις, διευκολύνοντας τη συνεργασία, την επικοινωνία, την αποθήκευση δεδομένων, το ηλεκτρονικό ταχυδρομείο, το γραφείο και πολλά άλλα.

Ο Mandiant, ο οποίος παρακολουθούσε τις δραστηριότητες του Cozy Bear (γνωστός και ως APT29 και Nobelium), αναφέρει ότι οι Ρώσοι χάκερ στοχεύουν δυναμικά λογαριασμούς Microsoft 365 σε εκστρατείες κατασκοπείας.

Οι ερευνητές προειδοποιούν ότι η ρωσική ομάδα συνεχίζει να επιδεικνύει εξαιρετική επιχειρησιακή ασφάλεια για να εμποδίσει τους αναλυτές να ανακαλύψουν και να αποκαλύψουν τις μεθόδους επίθεσης τους.

Σε μια αναφορά που δημοσιεύτηκε σήμερα, η Mandiant επισημαίνει ορισμένες από τις προηγμένες τακτικές της APT29 και μερικές από τις νεότερες TTP της (τακτικές, τεχνικές και διαδικασίες).

Εστιάζοντας στο Microsoft

365 Οι χρήστες του Microsoft 365 με άδεια E5 ανώτερης ποιότητας απολαμβάνουν μια δυνατότητα ασφαλείας που ονομάζεται “Purview Audit” (πρώην Advanced Audit). Όταν είναι ενεργοποιημένη, αυτή η δυνατότητα καταγράφει τους πράκτορες χρήστη, τις διευθύνσεις IP, τις χρονικές σημάνσεις και τα ονόματα χρήστη κάθε φορά που γίνεται πρόσβαση σε ένα email ανεξάρτητα από το πρόγραμμα (Outlook, πρόγραμμα περιήγησης, Graph API).

Οι εισβολείς μυστικών δικτύων όπως το APT29 θα προτιμούσαν να μην εντοπιστούν και να καταγραφούν οι κινήσεις τους. Έτσι, για να αποφύγουν τους ελέγχους σε παραβιασμένους λογαριασμούς, οι χάκερ απενεργοποιούν τη δυνατότητα Purview Audit σε έναν στοχευμένο χρήστη προτού καν αγγίξουν τους φακέλους αλληλογραφίας τους.

“Αυτή είναι μια κρίσιμη πηγή καταγραφής για τον προσδιορισμό εάν ένας παράγοντας απειλής έχει πρόσβαση σε ένα συγκεκριμένο γραμματοκιβώτιο, καθώς και για τον προσδιορισμό του εύρους της έκθεσης”, προειδοποιεί η Mandiant  

“Είναι ο μόνος τρόπος για να προσδιοριστεί αποτελεσματικά η πρόσβαση σε ένα συγκεκριμένο γραμματοκιβώτιο όταν ο παράγοντας απειλής χρησιμοποιεί τεχνικές όπως η πλαστοπροσωπία εφαρμογής ή το Graph API.”

Το δεύτερο ενδιαφέρον εύρημα της Mandiant είναι το APT29 που εκμεταλλεύεται τη διαδικασία αυτο-εγγραφής για έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) στο Azure Active Directory (AD).

Όταν οι χρήστες επιχειρήσουν να συνδεθούν σε έναν τομέα με πολιτικές αυτοεγγραφής για πρώτη φορά, τα Windows θα τους ζητήσουν να ενεργοποιήσουν το MFA στο λογαριασμό.