APT29 is a Russian groupe d’espionnage que Mandiant suit depuis au moins 2014 et probablement parrainé par le Service de renseignement extérieur (SVR).
Mandiant continue d’identifier des opérations de du groupe APT29 visant les intérêts des États-Unis, ainsi que ceux de l’OTAN. Malgré la médiatisation de multiples opérations d ‘APT29, celles-ci continuent d’être extrêmement prolifiques. In 2022, APT29 is concentrated on the organizations chargées d’influencer et d’élaborer la politique étrangère des pays de l’OTAN. Dans de nombreux cas, APT29 a attaqué des victimes que le groupe avait déjà compromises des années auparavant, ou parfois quelques mois seulement. Cette persistance et cette agressivité sont le signe d’un intérêt soutenu pour ces informations et d’une mission stricte de la part du gouvernement russe. Mandiant a observé qu ‘APT29 continue de faire preuve d’un sécurité opérationnelle exceptionnelle et de tactiques avancées visant Microsoft 365. Mandiant met en évidence plusieurs nouvelles TTP utilisées par APT29 lors d’operations récentes.
Désactivation des licenses
Microsoft 365 utilize a variety of license models for contrôler the access to individual utilisator aux services of the Microsoft 365 suite of products. journalization of the elements of messagerie consultés in the Purview Audit. Les licenses les plus courantes sont E1, E3 and E5; cependant, il existe une variété d’autres plans de license et de modules complémentaires granulaires here rendent l’octroi de licenses dans M365 complexe.
Pour un hacker, l’une des fonctions de journalization les plus gênantes est Purview Audit, anciennement Advanced Audit. Cette fonction, disponible avec les licenses E5 et certains modules complémentaires, permet the audit des éléments de messagerie consultés. Mail Items Accessed enregistre the chaîne de the agent utilisateur, the horodatage, the IP address and the user chaque fois qu’un élément d’e-mail est consulté. L’audit enregistre tout type d’accès au courrier, que ce soit par l’API graphique, Outlook, un navigateur ou une autre méthode. The s’agit d’une source d’enregistrement essentielle pour déterminer si un hacker accède à une boîte aux lettres particulière, ainsi que pour déterminer l’étendue de l’exposition. En outre, c’est le seul moyen de déterminer effectively accès à une boîte aux lettres particulière lorsque le pirate used des techniques comme l’usurpation d’identité d’application ou l’API graphique.
Mandiant a observé APT29 désactiver Purview Audit sur des comptes ciblés dans un espace compromis. Une fois désactivé, ils commencent à cibler la boîte de reception for the collection of e-mails. As long as there is, the organization disposed of aucune journalization permitting to confirm quels comptes le hacker a ciblés pour la collection d’e-mails et à quel moment. Compte tenu du ciblage et des TTP de APT29, Mandiant thinks that the collection of e-mails est l’activité la plus probable après la désactivation de Purview Audit.
Prise de contrôle MFA de comptes inactifs
The multi-facteurs authentication (MFA) is a crucial point that the organizations peuvent déployer pour contrecarrer les attaques de prise de contrôle de comptes par des pirates informatiques. En demandant aux utilisateurs de fournir à la fois quelque chose qu’ils savent et quelque chose qu’ils ont, les organizations peuvent réduire considérablement le risque de compromission des comptes. However, the MFA in soi n’est pas une solution miracle. Mandiant a déjà expliqué comment on the acteurs de la menace abusent de authentification automatique pour spammer les utilisateurs avec des notifications jusqu’à ce qu’ils finissent par accepter l’vitation et autoriser l’accès au hacker. Microsoft a récemment annoncé the déploiement des notifications push MFA avec correspondance de numéro pour lutter contre ce phénomène.
Mandiant a commencé à observer une autre tendance où les pirates, y compris APT29, profitent du processus of auto-inscription for MFA in Azure Active Directory et d’autres plateformes. Lorsqu’une organization applique pour la première fois le MFA, la plupart des plateformes permitting aux utilisateurs to inscribe leur premier dispositif MFA lors de la prochaine connexion. C’est souvent le processus choisi par les organizations pour déployer le MFA. Dans la configuration par defaut d’Azure AD et d’autres plateformes, the n’y a pas d’application supplémentaire sur le processus d’inscription MFA. En d’autres termes, toute personne connaissant le nom d’utilisateur et le mot de passe peut accéder au compte depuis n’importe that endroit et n’importe that appearil pour s’inscrire au MFA, à condition d’être la première personne à le faire.
Dans un cas, APT29 a mené une attaque par «password Guessing» contre une lists de boîtes aux lettres qu’il avait obtenue par des moyens inconnus. The hackers a réussi à deviner le mot de passe d’un compte qui avait été configuré, mais jamais utilisé. As the compte était inactif, Azure AD a demandé à APT29 de s’inscrire en MFA. Une fois inscrit, APT29 a pu utiliser le compte pour accéder à the VPN infrastructure of the organization here utilisait Azure AD for authentication et le MFA. Mandiant recommande aux organizations de s’assurer que tous les comptes actifs ont au moins un dispositif MFA inscrit et de travailler avec leur fournisseur de plateforme pour ajouter des vérifications supplémentaires au processus d’inscription MFA. Microsoft Azure AD a récemment mis en place une fonctionnalité permant aux organizations d’appliquer des contrôles autour d’actions spécifiques telles that the inscription of an MFA device. Grâce à accès conditionnel, les organizations peuvent restreindre the inscription des dispositifs MFA aux seuls emplacements de confiance, comme le réseau internal, ou aux dispositifs de confiance. Les organizations peuvent également choisir d’exiger the inscription de dispositifs MFA. Pour éviter the situation of the poule et de l’œuf que cela crée, the employés du service d’assistance peuvent délivrer des laissez-passer temporaires aux employés lors de leur première inscription ou s’ils perdent leur dispositif MFA. Ce laissez-passer peut être utilisé pendant une durée limitée pour se connecter, contourner le MFA et enregistrer un nouveau dispositif MFA.
Priorité à la sécurité opérationnelle
APT29 continue de faire preuve d’un sécurité opérationnelle et de tactiques d’évasion exceptionnelles. En plus de utilization de proxys résidentiels pour masquer leur accès au dernier kilomètre des environnements des victimes, Mandiant a observé qu ‘APT29 se tourne vers les machines virtuelles Azure. The machines virtuelles utilisées par APT29 existent in the Azure abonnements en dehors de l’organisation victime. Mandiant ne sait pas si ces abonnements ont été compromis ou achetés par APT29. Le fait que leur accès provienne d’adresses IP Microsoft fiables réduit la probabilité de détection. Étant donné que Microsoft 365 fonctionne sur Azure, les journaux d’ouverture de session Azure AD et d’audit unifié contiennent déjà de nombreuses adresses IP Microsoft et il peut être difficile de déterminer rapidement une adresse IP appartient à une activité malveillante ou à un service M365 dorsal. D’après les observations de Mandiant, the semble également que les adresses IP belonging to Microsoft réduisent considérablement le risque de détection par les rapports de Microsoft sur les ouvertures de session et les utilisateurs à risque.
Mandiant a également observé qu ‘APT29 mélange des actions administratives bénignes avec ses actions malveillantes. Par exemple, lors d’une enquête récente, APT29 to obtenu the access to a compte d’administrateur global dans Azure AD. Il a utilisé ce compte pour ouvrir a backdoor sur un principal de service avec des droits Application Impersonation et commencer à collecter les e-mails de boîtes aux lettres ciblées. Pour ce faire, APT29 a ajouté un nouveau certificat, ou Key Credential, au principal du service. Une fois ajouté, APT29 a pu s’authentifier sur Azure AD en tant que principal de service et utiliser ses rôles pour collecter les e-mails. Pour se fondre dans la masse, APT29 a creé le certificat avec a nom commun (CN) here correspond au nom d’affichage du principal de service rétabli. En plus de cela, ils ont également ajouté une nouvelle adresse URL d’application. L’adresse ajoutée était totalment bénigne, n’était pas nécessaire for facilitating leurs activités malveillantes et était liée à la fonctionnalité de the application telle que documentée par le fournisseur. Cette action démontre le niveau de preparation extrêmement élevé de APT29 et la mesure dans laquelle ils essaient de faire passer leurs actions pour légitimes.
Outlook
APT29 continue de développer son savoir-faire technique and son attachement à une sécurité opérationnelle stricte. Mandiant s’attend à ce qu ‘APT29 continue à developper of techniques and tactics for access to Microsoft 365 of original and stealthy manners.
À propos de Mandiant, Inc.
Depuis 2004, Mandiant® is a partner of confiance for organizations soucieuses de sécurité. An effective security repose sur la bonne combination d’expertise, d’intelligence et de technologie adaptative, et la platform SaaS Mandiant Advantage half à l’échelle des décennies d’expérience de première ligne et de renseignements sur les menaces à la pointe de l Industries to offer a range of solutions for cyber defense dynamics. L’approche de Mandiant aide les organizations à developper des programs de cybersécurité plus efficaces et efficients et leur women confiance dans leur capacité à se defendre contre les cybermenaces et à y respondre.