Российские хакеры нашли новый способ взлома аккаунтов Microsoft 365

Согласно отчету Mandiant , пророссийская группировка Cozy Bear (APT29, Nobelium) активно атакует учетные записи Microsoft 365 с помощью новых методов.

Чтобы действия APT29 не отслеживались и не регистрировались во время аудита скомпрометированных учетных записей, хакеры отключают функцию безопасности Microsoft 365 Purview Audit для жертвы еще до атаки.

Пользователи Microsoft 365 с лицензией E5 более высокого класса пользуются функцией безопасности Purview Audit. Когда эта функция включена, эта функция регистрирует пользовательские агенты, IP-адреса, временные метки и имена пользователей каждый раз, когда осуществляется доступ к электронной почте независимо от программы (Outlook, браузер, Graph API).

По словам Mandiant , это единственный способ эффективно определить доступ к конкретному почтовому ящику, когда злоумышленник использует такие методы, как олицетворение (impersonation) или Graph API.

Также APT29 использует преимущества процесса самостоятельной регистрации для многофакторной аутентификации (МФА) в Azure Active Directory. Когда пользователь впервые регистрируется на домене, Windows предлагает ему включить МФА для учетной записи.

Хакеры взламывают логины и пароли учетных записей, которые никогда не входили в домен, и регистрируют свои устройства для многофакторной аутентификации. Активация МФА позволяет использовать инфраструктуру скомпрометированной организации, поэтому APT29 может свободно перемещаться по взломанной сети.

Также киберпреступники используют виртуальные машины Azure через скомпрометированные учетные записи или приобретая виртуальные устройства, чтобы скрыть свой след. Виртуальные машины Azure «загрязняют» журналы IP-адресами Microsoft, а поскольку Microsoft 365 работает в Azure, защитникам сложно отличить обычный трафик от вредоносных действий.

Кроме того, APT29 скрывает свои действия администратора Azure AD, смешивая вредоносные действия, такие как сбор электронной почты, с добавлением безопасных URL-адресов приложений.

Ранее группировка начала использовать Google Drive и Dropbox , чтобы избежать обнаружения. Они пользуются доверием пользователей к облачным сервисам хранения данных и используют их для распространения вредоносного ПО