Microsoft в четверг заявила, что спонсируемые российским государством злоумышленники, ответственные за кибератаку на ее системы в конце ноября 2023 года, были нацелены на другие организации и что в настоящее время она начинает уведомлять их.
Разработка произошла на следующий день после того, как компания Hewlett Packard Enterprise (HPE) раскрыла, что она стала жертвой атаки, совершенной хакерской группой, отслеживаемой как APT29, которая также известна как BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard (ранее Nobelium) и The Dukes.
"Известно, что этот субъект угрозы в первую очередь нацелен на правительства, дипломатические учреждения, неправительственные организации (НПО) и поставщиков ИТ-услуг, в первую очередь в США и Европе", - говорится в новой рекомендации Microsoft Threat Intelligence Team.
Основная цель этих шпионских миссий - собирать конфиденциальную информацию, представляющую стратегический интерес для России, сохраняя плацдармы в течение длительных периодов времени, не привлекая к себе никакого внимания.
Последнее раскрытие указывает на то, что масштаб кампании, возможно, был больше, чем предполагалось ранее. Технический гигант, однако, не раскрыл, какие еще организации были выделены.
Операции APT29 включают использование законных, но скомпрометированных учетных записей для получения и расширения доступа в целевой среде и незаметности. Также известно, что он выявляет приложения OAuth и злоупотребляет ими для горизонтального перемещения по облачным инфраструктурам и для действий после компрометации, таких как сбор электронной почты.
"Они используют различные методы начального доступа, начиная от кражи учетных данных и заканчивая атаками по цепочке поставок, использованием локальных сред для последующего перехода в облако и использованием цепочки доверия поставщиков услуг для получения доступа к нижестоящим клиентам", - отметили в Microsoft.
Другая известная тактика предполагает использование взломанных учетных записей пользователей для создания, изменения и предоставления высоких разрешений приложениям OAuth, которыми они могут злоупотреблять для сокрытия вредоносной активности. Это позволяет субъектам угрозы сохранять доступ к приложениям, даже если они теряют доступ к изначально скомпрометированной учетной записи, указала компания.
Эти вредоносные приложения OAuth в конечном итоге используются для аутентификации в Microsoft Exchange Online и нацелены на корпоративные учетные записи электронной почты Microsoft для утечки представляющих интерес данных.
В инциденте, нацеленном на Microsoft в ноябре 2023 года, злоумышленник использовал атаку с использованием пароля для успешного проникновения в устаревшую, непроизводственную тестовую учетную запись клиента, в которой не была включена многофакторная аутентификация (MFA).
Такие атаки запускаются из распределенной локальной прокси-инфраструктуры для сокрытия их происхождения, позволяя субъекту угрозы взаимодействовать со скомпрометированным клиентом и Exchange Online через обширную сеть IP-адресов, которые также используются законными пользователями.
"Использование Midnight Blizzard локальных прокси-серверов для обфускации соединений делает невозможным обнаружение традиционных индикаторов компрометации (IoC) на основе высокой частоты смены IP-адресов", - сказал Редмонд, требуя, чтобы организации предпринимали шаги для защиты от мошеннических приложений OAuth и распыления паролей.
Разработка произошла на следующий день после того, как компания Hewlett Packard Enterprise (HPE) раскрыла, что она стала жертвой атаки, совершенной хакерской группой, отслеживаемой как APT29, которая также известна как BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard (ранее Nobelium) и The Dukes.
"Известно, что этот субъект угрозы в первую очередь нацелен на правительства, дипломатические учреждения, неправительственные организации (НПО) и поставщиков ИТ-услуг, в первую очередь в США и Европе", - говорится в новой рекомендации Microsoft Threat Intelligence Team.
Основная цель этих шпионских миссий - собирать конфиденциальную информацию, представляющую стратегический интерес для России, сохраняя плацдармы в течение длительных периодов времени, не привлекая к себе никакого внимания.
Последнее раскрытие указывает на то, что масштаб кампании, возможно, был больше, чем предполагалось ранее. Технический гигант, однако, не раскрыл, какие еще организации были выделены.
Операции APT29 включают использование законных, но скомпрометированных учетных записей для получения и расширения доступа в целевой среде и незаметности. Также известно, что он выявляет приложения OAuth и злоупотребляет ими для горизонтального перемещения по облачным инфраструктурам и для действий после компрометации, таких как сбор электронной почты.
"Они используют различные методы начального доступа, начиная от кражи учетных данных и заканчивая атаками по цепочке поставок, использованием локальных сред для последующего перехода в облако и использованием цепочки доверия поставщиков услуг для получения доступа к нижестоящим клиентам", - отметили в Microsoft.
Другая известная тактика предполагает использование взломанных учетных записей пользователей для создания, изменения и предоставления высоких разрешений приложениям OAuth, которыми они могут злоупотреблять для сокрытия вредоносной активности. Это позволяет субъектам угрозы сохранять доступ к приложениям, даже если они теряют доступ к изначально скомпрометированной учетной записи, указала компания.
Эти вредоносные приложения OAuth в конечном итоге используются для аутентификации в Microsoft Exchange Online и нацелены на корпоративные учетные записи электронной почты Microsoft для утечки представляющих интерес данных.
В инциденте, нацеленном на Microsoft в ноябре 2023 года, злоумышленник использовал атаку с использованием пароля для успешного проникновения в устаревшую, непроизводственную тестовую учетную запись клиента, в которой не была включена многофакторная аутентификация (MFA).
Такие атаки запускаются из распределенной локальной прокси-инфраструктуры для сокрытия их происхождения, позволяя субъекту угрозы взаимодействовать со скомпрометированным клиентом и Exchange Online через обширную сеть IP-адресов, которые также используются законными пользователями.
"Использование Midnight Blizzard локальных прокси-серверов для обфускации соединений делает невозможным обнаружение традиционных индикаторов компрометации (IoC) на основе высокой частоты смены IP-адресов", - сказал Редмонд, требуя, чтобы организации предпринимали шаги для защиты от мошеннических приложений OAuth и распыления паролей.
