Devlet destekli Rus siber casusluk grubu Cozy Bear, NATO ülkelerindeki Microsoft 365 hesaplarını hedef alarak ve dış politika bilgilerine erişmeye çalışarak 2022’de özellikle üretken oldu.
Microsoft 365, ağırlıklı olarak iş ve kurumsal kuruluşlar tarafından kullanılan, işbirliğini, iletişimi, veri depolamayı, e-postayı, ofisi ve daha fazlasını kolaylaştıran bulut tabanlı bir üretkenlik paketidir.
Cozy Bear’in (aka APT29 ve Nobelium) faaliyetlerini takip eden Mandiant, Rus bilgisayar korsanlarının casusluk kampanyalarında Microsoft 365 hesaplarını şiddetle hedeflediğini bildiriyor.
Araştırmacılar, Rus grubunun, analistlerin saldırı yöntemlerini keşfetmesini ve ifşa etmesini önlemek için olağanüstü operasyonel güvenlik göstermeye devam ettiği konusunda uyarıyor.
Bugün yayınlanan bir raporda, Mandiant APT29’un bazı gelişmiş taktiklerini ve en yeni TTP’lerinden bazılarını (taktikler, teknikler ve prosedürler) vurgular.
Microsoft 365’e odaklanma
Daha yüksek dereceli bir E5 lisansına sahip Microsoft 365 kullanıcıları, “Purview Audit” (önceki adıyla Advanced Audit) adlı bir güvenlik özelliğinden yararlanır. Bu özellik etkinleştirildiğinde, programdan bağımsız olarak bir e-postaya her erişildiğinde (Outlook, tarayıcı, Graph API) kullanıcı aracılarını, IP adreslerini, zaman damgalarını ve kullanıcı adlarını kaydeder.
APT29 gibi gizli ağ davetsiz misafirleri, hareketlerinin izlenmesini ve kaydedilmesini istemez. Bu nedenle, ele geçirilmiş hesaplardaki denetimlerden kaçınmak için bilgisayar korsanları, hedeflenen bir kullanıcı üzerindeki Purview Audit özelliğini, posta klasörlerine dokunmadan önce devre dışı bırakır.
Mandiant, “Bu, bir tehdit aktörünün belirli bir posta kutusuna erişip erişmediğini belirlemek ve ayrıca maruz kalma kapsamını belirlemek için kritik bir günlük kaynağıdır” diye uyarıyor. APT 29 teknik incelemesi.
“Tehdit aktörü Uygulama Kimliğine bürünme veya Grafik API’si gibi teknikleri kullanırken belirli bir posta kutusuna erişimi etkili bir şekilde belirlemenin tek yolu budur.”
Mandiant’ın ikinci ilginç bulgusu, Azure Active Directory’de (AD) çok faktörlü kimlik doğrulama (MFA) için kendi kendine kayıt sürecinden yararlanan APT29’dur.
Kullanıcılar kendi kendine kayıt ilkelerine sahip bir etki alanında ilk kez oturum açmaya çalıştığında, Windows onlardan hesapta MFA’yı etkinleştirmelerini ister.
Rus bilgisayar korsanları, etki alanına hiç giriş yapmamış ve cihazlarını MFA’ya kaydettirmemiş hesapların kullanıcı adlarına ve şifrelerine kaba kuvvet saldırıları gerçekleştirdi.
MFA’nın etkinleştirilmesi, güvenliği ihlal edilmiş kuruluşun VPN altyapısını kullanmak için ilgili güvenlik ön koşulunu yerine getirir, bu nedenle APT29, ihlal edilen ağda serbestçe dolaşabilir.
Son olarak Mandiant, tehdit grubunu ele geçirilmiş hesaplar aracılığıyla Azure Sanal Makineleri kullanarak veya izlerini gizlemek için hizmeti satın alarak gözlemledi.
Azure VM’leri, Microsoft IP adresleriyle günlükleri “kirletir” ve Microsoft 365 Azure üzerinde çalıştığından, savunucuların düzenli trafiği kötü amaçlı eylemlerden ayırt etmesi zordur.
APT29, iyi huylu Uygulama Adresi URL’lerinin eklenmesiyle e-posta toplamak için arka kapı hizmetleri gibi kötü niyetli eylemleri karıştırarak Azure AD yönetici etkinliğini daha da karmaşık hale getirir.
Rusya’nın öncüsü
APT29, Rusya’nın en yetenekli bilgisayar korsanlığı gruplarından biridir ve Mandiant’ın son bulguları, hedeflenen yazılımın işlevlerine ilişkin yüksek düzeyde hazırlık ve derin bilgi birikiminin altını çizmektedir.
Ocak 2022’de CrowdStrike, APT29’un O365 hesaplarında MFA adımlarını atladığını keşfetti yıllarcageçerli oturumları ele geçirmek için çalınan tarayıcı tanımlama bilgilerini kullanmak.
Mayıs 2022’de Mandiant ortaya çıkardı bir kimlik avı kampanyası dalgası Avrupa genelinde hükümetleri, elçilikleri ve üst düzey yetkilileri hedef alan belirli bir tehdit grubu tarafından yönetilmektedir.
Temmuz 2022’de Palo Alto Networks analistleri APT29’un kötüye kullanıldığını ortaya çıkardı Google Drive ve Dropbox daha güvenli kötü amaçlı yazılım dağıtımı ve veri hırsızlığı için bulut depolama hizmetleri.