Microsoft gab am Donnerstag bekannt, dass die russischen staatlich unterstützten Bedrohungsakteure, die für einen Cyberangriff auf ihre Systeme Ende November 2023 verantwortlich waren, auch andere Organisationen ins Visier genommen haben und dass sie derzeit dabei sind, sie darüber zu informieren. Am Tag zuvor hatte Hewlett Packard Enterprise (HPE) bekannt gegeben, Opfer eines Angriffs der Hacking-Gruppe APT29, auch bekannt als BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard (ehemals Nobelium) und The Dukes, geworden zu sein.
Laut dem Microsoft Threat Intelligence Team richtet sich diese Bedrohungsakteur hauptsächlich gegen Regierungen, diplomatische Einrichtungen, Nichtregierungsorganisationen (NGOs) und IT-Dienstleister, hauptsächlich in den USA und Europa. Das Hauptziel dieser Spionageaktionen ist es, sensible Informationen zu sammeln, die für Russland von strategischem Interesse sind, indem sie über einen längeren Zeitraum hinweg unentdeckt bleiben.
Die neuesten Informationen deuten darauf hin, dass das Ausmaß der Kampagne größer gewesen sein könnte als bisher angenommen. Der Technologiekonzern enthüllte jedoch nicht, welche anderen Einrichtungen ins Visier genommen wurden. Die Aktivitäten von APT29 umfassen die Nutzung legitimer, aber kompromittierter Konten, um Zugang zu einer Zielumgebung zu erlangen und diesen Zugang in der Folgezeit zu erweitern, ohne Aufmerksamkeit zu erregen. Es ist auch bekannt, dass sie OAuth-Anwendungen identifizieren und missbrauchen, um sich seitlich in Cloud-Infrastrukturen zu bewegen und nach Kompromittierung E-Mails zu sammeln.
Microsoft wies darauf hin, dass sie verschiedene Methoden zum Erstzugriff einsetzen, angefangen von gestohlenen Zugangsdaten bis hin zu Angriffen auf die Lieferkette, Ausnutzung von lokalen Umgebungen zur seitlichen Bewegung in die Cloud und Ausnutzung der Vertrauenskette der Dienstleister, um Zugang zu nachgelagerten Kunden zu erlangen.
Eine bemerkenswerte Taktik besteht darin, gehackte Benutzerkonten zu verwenden, um OAuth-Anwendungen zu erstellen, zu ändern und hohe Berechtigungen zu gewähren, die sie missbrauchen können, um bösartige Aktivitäten zu verbergen. Dadurch können Bedrohungsakteure den Zugang zu Anwendungen aufrechterhalten, auch wenn sie den Zugriff auf das anfänglich kompromittierte Konto verlieren.
Diese bösartigen OAuth-Anwendungen werden letztendlich verwendet, um sich bei Microsoft Exchange Online zu authentifizieren und auf Microsoft-Korrespondenzkonto zuzugreifen, um Daten von Interesse zu exfiltrieren.
Bei dem Angriff auf Microsoft im November 2023 verwendete die Bedrohungsakteur eine Passwort-Spray-Attacke, um erfolgreich ein Legacy-Testkonto ohne Mehrfaktor-Authentifizierung (MFA) zu infiltrieren. Solche Angriffe werden von einer verteilten Wohnsitzproxy-Infrastruktur gestartet, um ihre Herkunft zu verschleiern, was es dem Bedrohungsakteur ermöglicht, mit dem kompromittierten Konto und Exchange Online über ein riesiges Netzwerk von IP-Adressen zu interagieren, die auch von legitimen Benutzern verwendet werden.
Microsoft betonte, dass herkömmliche Indikatoren für Kompromittierung (IoC)-basierte Erkennungsmethoden aufgrund der hohen Wechselrate von IP-Adressen bei Midnigth Blizzard’s Verwendung von Wohnsitzproxys nicht praktikabel sind. Es ist daher notwendig, dass Unternehmen Maßnahmen ergreifen, um sich vor bösartigen OAuth-Anwendungen und Passwort-Spray-Angriffen zu schützen.