Các nhà nghiên cứu tại công ty an ninh mạng Mandiant đã phát hiện ra rằng nhóm APT29 do Nga hậu thuẫn, còn được gọi là Cozy Bear hoặc Nobelium, đang tích cực nhắm mục tiêu vào các tài khoản Microsoft 365 ở Mỹ và các tổ chức liên kết với NATO trong các chiến dịch gián điệp để đánh cắp dữ liệu nhạy cảm.
Mandiant, người đã theo dõi APT29 ít nhất từ năm 2014 đã chỉ ra rằng nhóm gián điệp Nga đang “sử dụng các chiến thuật mới và tích cực nhắm vào Microsoft 365 trong các cuộc tấn công chứng tỏ khả năng trốn tránh và bảo mật hoạt động đặc biệt”.
Công ty đã nêu bật một số TTP tiên tiến mới của APT29 (chiến thuật, kỹ thuật và quy trình) trong một báo cáo được công bố vào thứ Năm.
Đối với tác nhân đe dọa, một trong những tính năng bảo mật ghi nhật ký rắc rối nhất là Purview Audit, một tính năng bảo mật cấp cao hơn trong bộ Microsoft 365. Tính năng này, khả dụng với giấy phép E5 và một số tiện ích bổ sung, cho phép kiểm tra các Mục Thư đã Truy cập. Mục Thư đã Truy cập ghi lại chuỗi tác nhân người dùng, dấu thời gian, địa chỉ IP và người dùng mỗi khi mục thư được truy cập độc lập với chương trình (Outlook, trình duyệt, API Đồ thị).
Mandiant quan sát thấy rằng APT29 có thể vô hiệu hóa Kiểm tra Purview trên các tài khoản được nhắm mục tiêu trong một đối tượng thuê bị xâm phạm để nhắm mục tiêu hộp thư đến để thu thập email.
“Sau khi bị vô hiệu hóa, họ bắt đầu nhắm mục tiêu hộp thư đến để thu thập email. Tại thời điểm này, tổ chức không có nhật ký nào để xác nhận tài khoản nào mà tác nhân đe dọa nhắm mục tiêu để thu thập email và khi nào. Với việc nhắm mục tiêu của APT29 và TTP Mandiant tin rằng thu thập email là hoạt động có khả năng xảy ra nhất sau khi vô hiệu hóa Kiểm toán Purview, ”báo cáo do Mandiant công bố.
“Chúng tôi đã cập nhật báo cáo chính thức về các chiến lược khắc phục và làm cứng cho Microsoft 36 5 để bao gồm thêm chi tiết về kỹ thuật này cũng như lời khuyên về phát hiện và khắc phục. Ngoài ra, chúng tôi đã cập nhật Azure AD Investigator với một mô-đun mới để báo cáo về những người dùng bị vô hiệu hóa tính năng kiểm tra nâng cao. ”
Các nhà nghiên cứu cũng phát hiện ra một chiến thuật mới tiên tiến khác đang được APT29 sử dụng, tận dụng quy trình tự đăng ký để xác thực đa yếu tố (MFA) trong Azure Active Directory (AD).
Phương pháp này lạm dụng việc không thực thi nghiêm ngặt đối với đăng ký MFA mới trong cấu hình mặc định của Azure AD, có nghĩa là bất kỳ ai có kiến thức về tên người dùng và mật khẩu đều có thể truy cập tài khoản từ bất kỳ vị trí nào và bất kỳ thiết bị nào để đăng ký MFA, miễn là họ là người đầu tiên làm như vậy.
“Trong một trường hợp, APT29 đã tiến hành một cuộc tấn công đoán mật khẩu nhằm vào danh sách các hộp thư mà họ đã lấy được thông qua các phương tiện không xác định. Kẻ đe dọa đã đoán thành công mật khẩu của một tài khoản đã được thiết lập, nhưng chưa bao giờ được sử dụng. Vì tài khoản không hoạt động, Azure AD đã nhắc APT29 đăng ký MFA. Sau khi đăng ký, APT29 có thể sử dụng tài khoản để truy cập vào ‘cơ sở hạ tầng VPN đang sử dụng Azure AD để xác thực và MFA của tổ chức,’ tiếp tục báo cáo.
Cuối cùng, Mandiant đã quan sát APT29 bằng Máy ảo Azure (VM). Các máy ảo được APT29 sử dụng tồn tại trong đăng ký Azure bên ngoài tổ chức nạn nhân. Không rõ liệu nhóm tác nhân đe dọa đã xâm nhập hoặc mua các đăng ký này hay chưa.
Nhóm cũng đã được quan sát thấy trộn lẫn các hành động quản trị lành tính với các hành động độc hại của họ để gây nhầm lẫn cho bất kỳ ai có thể đang trên quỹ đạo của nó.
“Ví dụ, trong một cuộc điều tra gần đây APT29 đã giành được quyền truy cập vào tài khoản quản trị viên toàn cầu trong Azure AD. Họ đã sử dụng tài khoản này để backdoor một công ty chính của dịch vụ với quyền ApplicationImpersonation và bắt đầu thu thập email từ các hộp thư được nhắm mục tiêu trong đối tượng thuê, ”báo cáo cho biết thêm.
Sau khi được thêm vào, APT29 có thể xác thực với Azure AD với tư cách là Người quản lý dịch vụ và sử dụng các vai trò của nó để thu thập email. Để kết hợp, APT29 đã tạo chứng chỉ với Tên chung (CN) khớp với tên hiển thị của hiệu trưởng dịch vụ được kiểm duyệt lại và thêm URL địa chỉ ứng dụng mới vào đó.
“APT29 tiếp tục phát triển ngành nghề kỹ thuật và cống hiến cho việc bảo mật hoạt động nghiêm ngặt. Mandiant hy vọng rằng APT29 sẽ tiếp tục phát triển với sự phát triển của các kỹ thuật và chiến thuật để truy cập Microsoft 365 theo những cách mới lạ và lén lút, ”báo cáo kết luận.