Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page Российская группировка APT29 использует службы Azure для взлома пользователей Microsoft 365

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


Reply
 
Thread Tools Display Modes
  #1  
Old 02-11-2025, 08:40 AM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Новые методы незаметной компрометации аккаунтов усложняют работу ИБ-специалистов.

Согласно отчету Mandiant , пророссийская группировка Cozy Bear (APT29, Nobelium) активно атакует учетные записи Microsoft 365 с помощью новых методов.
Чтобы действия APT29 не отслеживались и не регистрировались во время аудита скомпрометированных учетных записей, хакеры отключают функцию безопасности Microsoft 365 Purview Audit для жертвы еще до атаки.
Пользователи Microsoft 365 с лицензией E5 более высокого класса пользуются функцией безопасности Purview Audit. Когда эта функция включена, эта функция регистрирует пользовательские агенты, IP-адреса, временные метки и имена пользователей каждый раз, когда осуществляется доступ к электронной почте независимо от программы (Outlook, браузер, Graph API).
По словам Mandiant , это единственный способ эффективно определить доступ к конкретному почтовому ящику, когда злоумышленник использует такие методы, как олицетворение (impersonation) или Graph API.
Также APT29 использует преимущества процесса самостоятельной регистрации для многофакторной аутентификации (МФА) в Azure Active Directory. Когда пользователь впервые регистрируется на домене, Windows предлагает ему включить МФА для учетной записи.
Хакеры взламывают логины и пароли учетных записей, которые никогда не входили в домен, и регистрируют свои устройства для многофакторной аутентификации. Активация МФА позволяет использовать инфраструктуру скомпрометированной организации, поэтому APT29 может свободно перемещаться по взломанной сети.
Также киберпреступники используют виртуальные машины Azure через скомпрометированные учетные записи или приобретая виртуальные устройства, чтобы скрыть свой след. Виртуальные машины Azure «загрязняют» журналы IP-адресами Microsoft, а поскольку Microsoft 365 работает в Azure, защитникам сложно отличить обычный трафик от вредоносных действий.
Кроме того, APT29 скрывает свои действия администратора Azure AD, смешивая вредоносные действия, такие как сбор электронной почты, с добавлением безопасных URL-адресов приложений.
Ранее группировка начала использовать Google Drive и Dropbox , чтобы избежать обнаружения. Они пользуются доверием пользователей к облачным сервисам хранения данных и используют их для распространения вредоносного ПО
Reply

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 09:56 AM.

Contact Us - Carder.life - Archive - Top