%20(1).png?w=696&ssl=1 "Azure Hizmetlerini Kötüye Kullanan Microsoft 365 Kullanıcılarını Hedefleyen Rus APT Grubu")
Rus hükümeti tarafından desteklenen bir Rus siber casusluk grubu olan Cozy Bear (aka APT29 ve Nobelium) tarafından düzenlenen siber casusluk saldırılarında bir artış oldu.
Mandiant’taki siber güvenlik analistleri, Cozy Bear’ın NATO ülkelerindeki dış politika bilgilerine erişmek için bu ülkelerdeki Microsoft 365 hesaplarını hedeflediğini doğruladı.
Aşağıdakiler dahil olmak üzere Microsoft 365’i bulut tabanlı bir üretkenlik paketi olarak kullanan birkaç kişi vardır:-
- Ticari ve kurumsal varlıklar
- İşbirliğini kolaylaştırmak
- İletişim
- Veri depolama
- E-posta
- Ofis
Sürekli olarak olağanüstü operasyonel güvenlik sergilemenin yanı sıra, Rus grubu, hedeflerine saldırma yöntemlerini analistlerden gizlemeye, keşiflerini ve açığa çıkmalarını önlemeye devam etti.
Microsoft 365’i Hedefleme
Üst düzey Microsoft 365 lisansına sahip kullanıcıların kullanma hakkına sahip olduğu “Purview Audit” olarak bilinen bir güvenlik özelliği vardır. Aşağıdaki bilgiler, etkinleştirilmiş bir programdan bağımsız olarak bir e-postaya her erişildiğinde günlüğe kaydedilir: –
- Kullanıcı aracıları
- IP adresleri
- zaman damgaları
- Kullanıcı adları
Bilgisayar korsanları, denetimlerden kaçmak için hedeflenen bir kullanıcının posta klasörünü açmadan önce güvenliği ihlal edilmiş bir hesapta Purview Audit özelliğini devre dışı bırakır.
APT29 ayrıca, kullanıcıların Azure tarafından sağlanan bir formu kullanarak çok faktörlü kimlik doğrulama (MFA) için Azure Active Directory’ye (AD) kendi kendine kaydolmalarını sağlar.
Rus bilgisayar korsanları etki alanını geçti ve cihazlarını kullanıcı adlarına ve şifrelere kaba kuvvet saldırıları kullanarak MFA’ya kaydettirdi.
Bu kimlik doğrulama türü, güvenliği ihlal edilen kuruluş tarafından barındırılan bir VPN altyapısının kullanımı için gerekli olan güvenlik hükümlerini yerine getirir. Sonuç olarak, ihlal edilen ağ, APT29’un kısıtlama olmaksızın serbestçe dolaşmasına izin verir.
APT grubu, izlerini gizleme stratejilerinin bir parçası olarak Azure Sanal Makinelerini kullanabilmek için güvenliği ihlal edilmiş hesapları kullanır. APT29, kötü niyetli etkinliği meşru Azure AD yönetici etkinliğiyle karıştırarak amaçlarını daha da şaşırtıyor.
Hesabı kullanarak kiracıdaki hedeflenen posta kutularından e-posta toplamaya başladıklarına inanılıyor. Uygulama Kimliğe bürünme haklar ve bir hizmet sorumlusunun arka kapıya girmesi.
Bu aboneliklerin ulus devlet aktörleri tarafından satın alınıp alınmadığı veya güvenliğinin ihlal edilip edilmediği belirsizdir. Rus bilgisayar korsanlığı grubu Cozy Bear (aka APT29), dünyanın en yeteneklileri arasındadır.
Geçmişte katı operasyonel güvenlik standartlarına aşırı önem vermesine rağmen, APT29 son yıllarda teknik ticari zanaatını geliştirdi.
Güvenli Azure AD Koşullu Erişimi – Ücretsiz Teknik Belgeyi İndirin