Powiązana z rosyjskim wywiadem grupa hakerów APT29, podejrzewana o głośny atak na SolarWinds w 2021 r., ma nowy cel. Włamuje się do środowisk Microsoft 365 – ostrzega Mandiant.

Według ekspertów hakerzy atakując MS 365 wyłączają funkcję logowania Purview Audit (wcześniej Advanced Audit), dostępną z licencjami E5 i niektórymi dodatkami. Umożliwia ona kontrolę dostępu do elementów poczty (m.in. rejestruje ciąg agenta użytkownika, sygnaturę czasową, adres IP). Następnie pobierają e-maile ze skrzynek pocztowych. Zaatakowana firma nie ma natomiast możliwości logowania, aby potwierdzić, na które konta i kiedy wszedł cyberprzestępca.

Mandiant ustalił również, że rosyjscy hakerzy korzystają z procesu samorejestracji uwierzytelniania wieloskładnikowego w Azure Active Directory i na innych platformach.

Przejmują uwierzytelnianie wieloskładnikowe

APT29 przeprowadził atak polegający na odgadywaniu hasła na liście skrzynek pocztowych, które uzyskali w nieznany sposób. Napastnik z powodzeniem odgadł hasło do konta, które zostało skonfigurowane, ale nigdy nie było używane. Ponieważ konto było w stanie uśpienia, usługa Azure AD monitowała hakera o zarejestrowanie się w usłudze MFA. Po zarejestrowaniu APT29 mógł użyć konta, aby uzyskać dostęp do infrastruktury VPN organizacji, która korzystała z usługi Azure AD do uwierzytelniania i MFA – stwierdził Mandiant.

Firma zaleca, aby organizacje upewniły się, że na wszystkich aktywnych kontach jest zarejestrowane co najmniej jedno urządzenie usługi MFA, i współpracują z dostawcą platformy w celu dodania dodatkowych weryfikacji do procesu rejestracji usługi MFA.

W 2022 r. według Mandianta APT29 skupił się na organizacjach odpowiedzialnych za wpływanie i kształtowanie polityki zagranicznej państw NATO. Podkreślają „agresywność i wytrwałość” działania grupy w realizacji zadań wyznaczanych przez rosyjskie władze.