Az APT29 egy orosz kémcsoport, amely 2014 óta követi a Mandiantot, és feltételezések szerint a Foreign Intelligence Service (SVR) szponzorálja. A Mandiant továbbra is azonosítja azokat az APT29 műveleteket, amelyek az Egyesült Államok (USA), valamint a NATO és a partnerországok érdekeit célozzák. Annak ellenére, hogy több APT29-műveletet publikáltak, továbbra is rendkívül produktívak. 2022-ben az APT29 a NATO-országok külpolitikájának befolyásolásáért és alakításáért felelős szervezetekre összpontosított. Ez több olyan esetet is tartalmazott, amikor az APT29 újra felkereste azokat az áldozatokat, akiket évekkel vagy néha csak hónapokkal korábban kompromittáltak. Ez a kitartás és agresszivitás azt jelzi, hogy az orosz kormány továbbra is érdeklődik ezen információk iránt, és szigorúan céloz.
A Mandiant úgy találta, hogy az APT29 továbbra is kivételes működési biztonságot és fejlett taktikát mutat a Microsoft 365-öt célzó megoldással. Kiemelünk néhány újabb TTP-t, amelyeket az APT29 használt a közelmúltban.
Licencek letiltása
A Microsoft 365 különböző licencelési modelleket használ az egyes felhasználóknak a Microsoft 365 termékcsomag szolgáltatásaihoz való hozzáférésének kezelésére. A licencek meghatározhatják a biztonsági és megfelelőségi beállításokat is, például a Purview Audit e-mail-elemeinek naplózását és naplózását. A leggyakoribb licencek az E1, E3 és E5; azonban számos más engedélyezési terv és részletes kiegészítő is létezik, amelyek bonyolulttá teszik az M365 engedélyezését.
Egy fenyegetés szereplője számára a Purview Audit, korábban Advanced Audit, az egyik legunalmasabb naplózási funkció. Ez az E5-licencekkel és bizonyos bővítményekkel elérhető funkció lehetővé teszi az elért levelek ellenőrzését. Az e-mail elem elérése minden alkalommal rögzíti a felhasználói ügynök karakterláncát, időbélyegét, IP-címét és felhasználóját, amikor egy e-mail elemet megnyit. Az ellenőrzés minden típusú e-mail hozzáférést rögzít, legyen az a Graph API, az Outlook, a böngésző vagy bármilyen más módszer használatával. Ez egy kritikus naplóforrás annak meghatározásához, hogy egy fenyegetés szereplője hozzáfér-e egy adott postafiókhoz, és meghatározható a kitettség mértéke. Ezenkívül ez az egyetlen módja annak, hogy hatékonyan szabályozzuk az adott postafiókhoz való hozzáférést, ha a fenyegetettség szereplője olyan technikákat használ, mint az Application Impersonation vagy a Graph API.
A Mandiant megfigyelte, hogy az APT29 letiltotta a Purview Audit funkciót egy feltört bérlő megcélzott fiókjain. A letiltást követően az e-mail-gyűjtő beérkező leveleket célozzák meg. Jelenleg nem áll rendelkezésre naplózás a szervezet számára, amely megerősítené, hogy a fenyegetett szereplő mely fiókokat célozta meg az e-mailek gyűjtésére, és mikor. Tekintettel az APT29 célzására és a TTP-kre, a Mandiant úgy véli, hogy az e-mailek gyűjtése a legvalószínűbb tevékenység a Purview Audit letiltása után. Frissítettük a Microsoft 365 helyreállítási és szigorítási stratégiái című fehér könyvünket, amely további részleteket tartalmaz erről a technikáról, valamint az észlelési és helyreállítási tanácsokról. Ezenkívül frissítettük az Azure AD Investigatort egy új modullal, amely jelentést készít azokról a felhasználókról, akiknél a speciális naplózás le van tiltva.
MFA alvó számlaátvétel
A többtényezős hitelesítés (MFA) egy kritikus eszköz, amelyet a szervezetek a fenyegetés szereplői támadásainak kivédésére használhatnak. Azáltal, hogy megkövetelik a felhasználóktól, hogy mindketten nyújtsanak valamit tudni és valami ő birtokolni, a szervezetek jelentősen csökkenthetik a fiókkompromittálódás kockázatát. Az MFA azonban önmagában nem csodaszer. A Mandiant korábban már megvitatta, hogy a fenyegetések szereplői hogyan élnek vissza push-alapú MFA-val, hogy értesítéseket küldjenek a felhasználóknak, amíg azok végül elfogadják a felszólítást, és hozzáférést biztosítanak a fenyegetőzőnek. A Microsoft nemrégiben bejelentette, hogy ennek ellensúlyozására bevezetik az MFA push értesítést számegyeztetéssel.
A Mandiant újabb trendet kezdett látni, amikor a fenyegetés szereplői, köztük az APT29, kihasználják az MFA önregisztrációs folyamatát az Azure Active Directoryban és más platformokon. Amikor egy szervezet először kényszeríti ki az MFA-t, a legtöbb platform lehetővé teszi a felhasználók számára, hogy a következő bejelentkezéskor regisztrálják első MFA-eszközüket. A szervezetek gyakran ezt a munkafolyamatot választják az MFA bevezetésére. Az Azure AD és más platformok alapértelmezett konfigurációjában nincsenek további kényszerítések az MFA-regisztrációs folyamathoz. Más szóval, bárki, aki ismeri a felhasználónevét és jelszavát, bárhonnan és bármilyen eszközről hozzáférhet a fiókhoz az MFA regisztrálásához, feltéve, hogy ő az első, aki ezt megteszi.
Egy esetben az APT29 jelszókitaláló támadást hajtott végre az ismeretlen módon megszerzett postafiókok listáján. A fenyegetőző színész sikeresen kitalálta egy beállított, de soha nem használt fiók jelszavát. Mivel a fiók inaktív volt, az Azure AD kérte az APT29-et, hogy regisztráljon az MFA-ra. A regisztrációt követően az APT29 a fiók segítségével hozzáférhetett a szervezet VPN-infrastruktúrájához, amely az Azure AD-t használta a hitelesítéshez és az MFA-hoz. A Mandiant azt javasolja, hogy a szervezetek gondoskodjanak arról, hogy minden aktív fiókban legyen legalább egy MFA-eszköz regisztrálva, és működjenek együtt platformszolgáltatójukkal, hogy további ellenőrzéseket adjanak hozzá az MFA-regisztrációs folyamathoz. A Microsoft Azure AD a közelmúltban bevezetett egy olyan funkciót, amely lehetővé teszi a szervezetek számára, hogy bizonyos műveletek, például az MFA-eszközök regisztrációja körül vezérlőket kényszerítsenek ki. A feltételes hozzáférés lehetővé teszi a szervezetek számára, hogy az MFA-eszközök regisztrációját csak megbízható helyekre korlátozzák, például a belső hálózatra vagy a megbízható eszközökre. A szervezetek dönthetnek úgy is, hogy MFA-t kérnek az MFA felvételéhez. Az ebből adódó tyúk-tojás helyzet elkerülése érdekében a help desk ügynökei ideiglenes belépési engedélyeket adhatnak ki az alkalmazottaknak, amikor először csatlakoznak, vagy ha elveszítik MFA-eszközüket. A bérlet korlátozott ideig használható bejelentkezésre, MFA megkerülésére és új MFA-eszköz regisztrálására.
Fókuszáljon az üzembiztonságra
Az APT29 továbbra is rendkívüli működési biztonságot és kijátszási taktikát mutat be. Amellett, hogy lakossági proxykat használ az áldozat környezetekhez való utolsó mérföldes hozzáférésük elhomályosítására, a Mandiant megfigyelte az APT29 átállását az Azure Virtual Machines rendszerre. Az APT29 által használt virtuális gépek az áldozat szervezetén kívüli Azure-előfizetésekben találhatók. A Mandiant nem tudja, hogy az APT29 feltörte-e vagy megvásárolta-e ezeket az előfizetéseket. Azáltal, hogy az utolsó mérföldes hozzáférést megbízható Microsoft IP-címekről szerzik be, csökken az észlelés esélye. Mivel maga a Microsoft 365 az Azure-ban fut, az Azure AD bejelentkezési és egyesített naplózási naplói már sok Microsoft IP-címet tartalmaznak, és nehéz lehet gyorsan megállapítani, hogy egy IP-cím rosszindulatú virtuális géphez vagy M365 háttérszolgáltatáshoz tartozik-e. A Mandiant saját megfigyelése is azt mutatja, hogy a Microsoft tulajdonában lévő IP-címek jelentősen csökkentik a kockázatos bejelentkezésekből és a kockázatos Microsoft-felhasználói jelentésekből való észlelés kockázatát.
A Mandiant azt is megfigyelte, hogy az APT29 jóindulatú adminisztratív cselekményeket rosszindulatúakkal kever. Például egy nemrégiben készült tanulmányban az APT29 hozzáférést kapott egy globális rendszergazdai fiókhoz az Azure AD-ben. A fiókot arra használták, hogy hátsó ajtót biztosítsanak egy egyszerű szolgáltatásnak: ApplicationImpersonation engedélyeket, és kezdje el gyűjteni az e-maileket a bérlő célzott postafiókjaiból. Ennek elérése érdekében az APT29 új tanúsítványt vagy kulcs hitelesítő adatot adott a szolgáltatás egyszerűhöz. A hozzáadást követően az APT29 hitelesítheti az Azure AD-t, mint a szolgáltatás egyszerűségét, és a szerepköreit használhatja az e-mailek gyűjtésére. A beolvadáshoz az APT29 létrehozta a tanúsítványt egy közös névvel (CN), amely megegyezik a hátsó ajtó szolgáltatásnév megjelenített nevével. Ezenkívül egy új alkalmazáscím URL-t is hozzáadtak a szolgáltatási címhez. Az általuk hozzáadott cím teljesen jóindulatú volt, nem szükséges rosszindulatú tevékenységeik elősegítéséhez, és az alkalmazás funkcionalitásához kapcsolódik, ahogy azt a szállító dokumentálta. Ez az akció azt mutatja, hogy az APT29 milyen rendkívül magas szintű felkészültséggel rendelkezik, és milyen mértékben akarják, hogy cselekedeteiket legitimnek álcázzák.
Outlook
Az APT29 továbbra is fejleszti technikai tudását és elkötelezettségét a szigorú üzembiztonság mellett. A Mandiant elvárja, hogy az APT29 lépést tartson a technikák és taktikák fejlődésével a Microsoft 365 új és észrevétlen módon való eléréséhez.