Microsoft zei donderdag dat de door de Russische staat gesponsorde dreigingsactoren die verantwoordelijk zijn voor een cyberaanval op zijn systemen eind november 2023 zich op andere organisaties hebben gericht en dat het bedrijf hen momenteel op de hoogte begint te brengen.
De ontwikkeling komt een dag nadat Hewlett Packard Enterprise (HPE) onthulde dat het het slachtoffer was geworden van een aanval gepleegd door een hackploeg die werd gevolgd als APT29ook bekend als BlueBravo, Cloaked Ursa, Cosy Bear, Midnight Blizzard (voorheen Nobelium) en The Dukes.
“Het is bekend dat deze dreigingsactor zich vooral richt op overheden, diplomatieke entiteiten, niet-gouvernementele organisaties (NGO’s) en IT-dienstverleners, voornamelijk in de VS en Europa”, aldus het Microsoft Threat Intelligence-team in een nieuw advies.
Het primaire doel van deze spionagemissies is het verzamelen van gevoelige informatie die van strategisch belang is voor Rusland door gedurende langere tijd voet aan de grond te houden zonder enige aandacht te trekken.
De laatste onthulling geeft aan dat de omvang van de campagne mogelijk groter was dan eerder werd gedacht. De technologiegigant maakte echter niet bekend welke andere entiteiten werden uitgekozen.
De activiteiten van APT29 omvatten het gebruik van legitieme maar gecompromitteerde accounts om toegang te verkrijgen en uit te breiden binnen een doelomgeving en onder de radar te blijven. Het is ook bekend dat het OAuth-applicaties identificeert en misbruikt om lateraal over cloudinfrastructuren te bewegen en voor activiteiten na een compromittering, zoals het verzamelen van e-mail.
“Ze maken gebruik van diverse initiële toegangsmethoden, variërend van gestolen inloggegevens tot supply chain-aanvallen, exploitatie van on-premise omgevingen om lateraal naar de cloud te verhuizen, en exploitatie van de vertrouwensketen van serviceproviders om toegang te krijgen tot downstream-klanten”, aldus Microsoft.
Een andere opmerkelijke tactiek is het gebruik van gehackte gebruikersaccounts om OAuth-applicaties aan te maken, te wijzigen en hoge rechten te verlenen, die ze kunnen misbruiken om kwaadaardige activiteiten te verbergen. Hierdoor kunnen bedreigingsactoren de toegang tot applicaties behouden, zelfs als ze de toegang tot het aanvankelijk gecompromitteerde account verliezen, benadrukt het bedrijf.
Deze kwaadaardige OAuth-toepassingen worden uiteindelijk gebruikt om te authenticeren bij Microsoft Exchange Online en richten zich op zakelijke e-mailaccounts van Microsoft om interessante gegevens te exfiltreren.
Bij het incident dat zich in november 2023 op Microsoft richtte, gebruikte de bedreigingsacteur een wachtwoordsprayaanval om met succes een verouderd, niet-productietesttenantaccount te infiltreren waarvoor geen multi-factor authenticatie (MFA) was ingeschakeld.
Dergelijke aanvallen worden gelanceerd vanuit een gedistribueerde residentiële proxy-infrastructuur om hun oorsprong te verbergen, waardoor de bedreigingsacteur kan communiceren met de gecompromitteerde tenant en met Exchange Online via een uitgebreid netwerk van IP-adressen die ook door legitieme gebruikers worden gebruikt.
“Midnight Blizzard’s gebruik van residentiële proxy’s om verbindingen te verdoezelen maakt traditionele indicatoren van op compromissen (IoC) gebaseerde detectie onhaalbaar vanwege de hoge omschakelingssnelheid van IP-adressen”, aldus Redmond, wat het noodzakelijk maakt dat organisaties stappen ondernemen om zich te verdedigen tegen malafide OAuth-applicaties en het spuiten van wachtwoorden. .
