В соответствии с новым отчетом компании Mandiant, пророссийская хакерская группа Cozy Bear активно проводит кибератаки на пользовательские аккаунты Microsoft 365, применяя инновационные методики.
Чтобы хакерские действия группировки не могли отследить и зарегистрировать в процессе аудита скомпрометированных аккаунтов, киберпреступники выключают функционал безопасности Purview Audit конкретного пользователя еще до момента проведения на него кибератаки.
Пользователи Microsoft 365 с лицензией Е5 (немного выше классом, чем стандартная) могут использовать функцию Purview Audit. При запуске она регистрирует пользовательские агенты, IP-адреса, временные метки и пользовательские имена в каждом отдельном случае, когда выполняется доступ к почте вне зависимости от программы (браузер, Outlook и другие).
Эксперты из компании Mandiant отмечают, что это единственный метод эффективно определять доступ к определенному email, когда киберпреступники применяют такие методы, как олицетворение (impersonation) или Graph API.
Кроме того, как стало известно из отчета Mandiant, хакерская группировка Cozy Bear применяет возможности процедуры самостоятельной регистрации для многофакторной аутентификации в Azure Active Directory. Если пользователи в первый раз регистрируются на домене, система предложит им включить многофакторную аутентификацию для аккаунта. Киберпреступники Cozy Bear же взламывают учетные данные аккаунтов, никогда ранее не входивших в домен, а затем регистрируют собственное устройство для осуществления многофакторной идентификации.
Активация MFA позволяет пользоваться инфраструктурой скомпрометированной компании, поэтому хакерская группировка Cozy Bear имеет возможность почти без ограничений перемещаться по взломанной IT-инфраструктуре организации.
Помимо этого, хакеры из Cozy Bear применяют виртуальные машины Azure через скомпрометированные аккаунты или покупают виртуальные устройства, чтобы скрыть собственные следы пребывания в системе пользователя. Виртуальные машины Azure оказывают на журналы «загрязняющее воздействие», засоряя их IP-адресами Microsoft, потому что Microsoft 365 взаимодействует с Azure, в связи с чем ИБ-специалистам компании сложно отличить стандартный трафик от вредоносного.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Rutube | Now | Пульс.
