Mandiant hat beobachtet, dass APT29 weiterhin außergewöhnliche Betriebssicherheit und fortschrittliche Taktiken für Microsoft 365 demonstriert. Die Gruppe hat mehrere neuere TTPs hervorgehoben, die von APT29 in den letzten Operationen verwendet wurden.
Lizenzen deaktivieren
Microsoft 365 verwendet eine Vielzahl von Lizenzierungsmodellen, um den Zugriff eines einzelnen Benutzers auf Dienste in der Microsoft 365-Produktsuite zu steuern. Die Lizenzen können auch Sicherheits- und Compliance-Einstellungen wie Protokollaufbewahrung und Postsendungen Auf Protokollierung innerhalb zugegriffen Bereich Audit. Die gängigsten Lizenzen sind E1, E3 und E5; Es gibt jedoch eine Vielzahl anderer Lizenzpläne und granularer Add-Ons, die die Lizenzierung in M365 komplex machen.
Für einen Hacker ist Purview Audit, ehemals Advanced Audit, eine der problematischsten Protokollierungsfunktionen. Diese Funktion, die mit E5-Lizenzen und bestimmten Add-Ons verfügbar ist, aktiviert die Prüfung der Zugriffe auf E-Mail-Elemente. Zugegriffene E-Mail-Elemente zeichnet bei jedem Zugriff auf ein E-Mail-Element die Zeichenfolge des Benutzeragenten, den Zeitstempel, die IP-Adresse und den Benutzer auf. Die Prüfung zeichnet jede Art von E-Mail-Zugriff auf, unabhängig davon, ob sie die Graph-API, Outlook, einen Browser oder eine andere Methode verwendet. Dies ist eine wichtige Protokollquelle, um festzustellen, ob ein Hacker auf ein bestimmtes Postfach zugreift, und um den Umfang der Offenlegung zu bestimmen. Darüber hinaus ist es die einzige Möglichkeit, den Zugriff auf ein bestimmtes Postfach effektiv zu bestimmen, wenn der Angreifer Techniken wie Application Impersonation oder die Graph-API verwendet.
Das Forschungsunternehmen hat beobachtet, dass APT29 Purview Audit auf gezielten Konten in einem kompromittierten Mandanten deaktiviert. Nach der Deaktivierung beginnen sie, den Posteingang für die E-Mail-Sammlung zu verwenden. Zu diesem Zeitpunkt ist keine Protokollierung verfügbar, um zu bestätigen, welche Konten wann für die E-Mail-Sammlung ausgewählt wurden. Angesichts des Targetings und der TTPs von APT29 glauben die Forscher, dass das Sammeln von E-Mails die wahrscheinlichste Aktivität nach der Deaktivierung von Purview Audit ist.
MFA-Übernahme ruhender Konten
Die Multi-Faktor-Authentifizierung (MFA) ist ein entscheidendes Tool, das Unternehmen einsetzen können, um Angriffe zur Kontoübernahme durch Bedrohungsakteure zu vereiteln. Indem von Benutzern verlangt wird, sowohl etwas bereitzustellen, das sie wissen, als auch etwas, das sie besitzen, können Unternehmen das Risiko einer Kontokompromittierung erheblich verringern. MFA selbst ist jedoch keine Wunderwaffe.
In einem Fall führte APT29 einen Angriff zum Erraten von Passwörtern gegen eine Liste von Postfächern durch, die sie auf unbekannte Weise erhalten hatten. Der Bedrohungsakteur hat erfolgreich das Passwort für ein Konto erraten, das eingerichtet, aber nie verwendet wurde. Da das Konto inaktiv war, forderte Azure AD APT29 auf, sich bei MFA zu registrieren. Nach der Registrierung konnte APT29 das Konto verwenden, um auf die VPN-Infrastruktur der Organisation zuzugreifen, die Azure AD für die Authentifizierung und MFA verwendete.