Microsoft Perşembe günü yaptığı açıklamada, Kasım 2023 sonlarında sistemlerine düzenlenen siber saldırıdan sorumlu Rus devleti destekli tehdit aktörlerinin diğer kuruluşları hedef aldığını ve şu anda onları bilgilendirmeye başladığını söyledi.
Gelişme, Hewlett Packard Enterprise’ın (HPE), takip edilen bir bilgisayar korsanlığı ekibi tarafından gerçekleştirilen bir saldırının kurbanı olduğunu açıklamasından bir gün sonra geldi. APT29BlueBravo, Pelerinli Ursa, Rahat Ayı, Midnight Blizzard (eski adıyla Nobelium) ve The Dukes olarak da bilinir.
Microsoft Tehdit İstihbaratı ekibi, “Bu tehdit aktörünün öncelikli olarak ABD ve Avrupa’daki hükümetleri, diplomatik kuruluşları, sivil toplum kuruluşlarını (STK’lar) ve BT hizmet sağlayıcılarını hedef aldığı biliniyor.” söz konusu yeni bir danışma belgesinde.
Bu casusluk misyonlarının temel amacı, Rusya’yı stratejik açıdan ilgilendiren hassas bilgileri, dikkat çekmeden uzun süre ayakta tutarak toplamaktır.
Son açıklama, kampanyanın ölçeğinin önceden düşünülenden daha büyük olabileceğini gösteriyor. Ancak teknoloji devi, başka hangi varlıkların seçildiğini açıklamadı.
APT29’un operasyonları, hedef ortamda erişim kazanmak ve genişletmek ve radarın altından geçmek için meşru ancak güvenliği ihlal edilmiş hesapların kullanılmasını içerir. Ayrıca, bulut altyapıları arasında yanal olarak hareket etmek ve e-posta toplama gibi güvenlik ihlali sonrası faaliyetler için OAuth uygulamalarının belirlenip kötüye kullanıldığı da bilinmektedir.
Microsoft, “Çalınan kimlik bilgilerinden tedarik zinciri saldırılarına, şirket içi ortamlardan yararlanılarak yatay olarak buluta taşınmaya ve hizmet sağlayıcıların güven zincirinden yararlanarak alt müşterilere erişim sağlamaya kadar çeşitli ilk erişim yöntemlerini kullanıyorlar” dedi.
Dikkate değer bir diğer taktik, ihlal edilmiş kullanıcı hesaplarının, OAuth uygulamalarını oluşturmak, değiştirmek ve kötü amaçlı etkinlikleri gizlemek için kötüye kullanabilecekleri yüksek izinler vermek için kullanılmasını gerektirir. Şirket, bunun, tehdit aktörlerinin başlangıçta ele geçirilen hesaba erişimlerini kaybetseler bile uygulamalara erişimi sürdürmelerine olanak tanıdığını belirtti.
Bu kötü amaçlı OAuth uygulamaları sonuçta Microsoft Exchange Online’da kimlik doğrulamak ve ilgilenilen verileri sızdırmak amacıyla Microsoft kurumsal e-posta hesaplarını hedeflemek için kullanılır.
Kasım 2023’te Microsoft’u hedef alan olayda, tehdit aktörü, çok faktörlü kimlik doğrulamanın (MFA) etkinleştirilmediği eski, üretim dışı test kiracısı hesabına başarılı bir şekilde sızmak için parola püskürtme saldırısı kullandı.
Bu tür saldırılar, kökenlerini gizlemek için dağıtılmış bir konut proxy altyapısından başlatılıyor ve tehdit aktörünün, meşru kullanıcılar tarafından da kullanılan geniş bir IP adresleri ağı aracılığıyla güvenliği ihlal edilen kiracıyla ve Exchange Online ile etkileşime girmesine olanak tanıyor.
Redmond, “Midnight Blizzard’ın bağlantıları karartmak için konut proxy’leri kullanması, IP adreslerinin yüksek değişim oranı nedeniyle geleneksel risk göstergeleri (IoC) tabanlı algılamayı olanaksız hale getiriyor” dedi ve kuruluşların hileli OAuth uygulamalarına ve parola püskürtmeye karşı savunma yapmak için adımlar atmasını zorunlu kıldı. .
