Microsoft warnt vor einer globalen Ausweitung der APT29-Spionageangriffe
Microsoft berichtet, dass die Urheber des Cyberangriffs Ende November 2023 nicht nur die Systeme des Redmonder Unternehmens im Visier hatten. Die Täter haben ihre Angriffe auch auf andere Organisationen weltweit ausgeweitet. Microsoft hat deshalb damit begonnen, betroffene Organisationen über die Gefahr zu informieren.
Einen Tag nachdem Hewlett Packard Enterprise (HPE) bekannt gegeben hat, von der Hackergruppe APT29 angegriffen worden zu sein, teilt Microsoft mit, dass diese Gruppe auch andere Organisationen ins Visier genommen hat.
Nach Angaben des Microsoft Threat-Intelligence-Teams hat es APT29 vor allem auf Regierungen, diplomatische Einrichtungen, Nichtregierungsorganisationen (NGOs) und IT-Dienstleister, insbesondere in den USA und Europa, abgesehen. Das Hauptziel besteht darin, über einen längeren Zeitraum unbemerkt sensible Informationen zu sammeln, die vermutlich für Russland von strategischem Interesse sind.
Die neuen Informationen deuten darauf hin, dass die Auswirkungen dieser Kampagne größer sein könnten als bisher angenommen. Microsoft hat jedoch nicht bekannt gegeben, welche weiteren Einrichtungen von den Angriffen betroffen sind.
Methoden und Taktik
APT29 verwendet legitime, aber gehackte Konten, um heimlich in ein Ziel einzudringen und sich dort auszubreiten. Die Akteure machen sich auch OAuth-Anwendungen zunutze, um durch laterale Bewegungen in die Cloud zu gelangen und nach einer Kompromittierung weiterführende Aktivitäten durchzuführen, wie beispielsweise das Sammeln von E-Mails.
Laut Microsoft setzen sie verschiedene Methoden ein, um anfänglichen Zugriff zu erhalten – von gestohlenen Anmeldedaten bis hin zu Angriffen auf die Lieferkette. Sie nutzen lokale Umgebungen, um lateral in die Cloud zu gelangen, und greifen auf die Vertrauenskette von Dienstanbietern zurück, um Zugriff auf nachgelagerte Kunden zu erhalten.
Eine besonders auffällige Taktik besteht darin, missbrauchte Benutzerkonten zu verwenden, um OAuth-Anwendungen zu erstellen, zu ändern und ihnen hohe Berechtigungen zu geben. Dadurch können sie bösartige Aktivitäten verschleiern und den Zugriff auf Anwendungen aufrechterhalten, selbst wenn der Zugriff auf das ursprünglich gehackte Konto verloren geht.
Die schädlichen OAuth-Anwendungen werden letztendlich dazu verwendet, sich bei Microsoft Exchange Online anzumelden und auf E-Mail-Konten von Microsoft-Unternehmen zuzugreifen, um interessante Daten zu stehlen.
Passwort-Spray-Angriff
Bei dem Vorfall, der sich im November 2023 gegen Microsoft richtete, hat der Angreifer eine Methode namens „Passwort-Spray-Angriff“ verwendet, um erfolgreich in ein altes, nicht produktives Testkonto einzudringen, bei dem die Multi-Faktor-Authentifizierung (MFA) nicht aktiviert war. Außerdem passte er seine Passwort-Spray-Angriffe an, indem er nur eine begrenzte Anzahl von Konten angriff und nur wenige Versuche unternahm. Das Ziel war, die Entdeckung zu vermeiden und Kontosperrungen aufgrund zu vieler Fehlversuche zu umgehen, so der Microsoft-Bericht.
Die Eindringlinge nutzten ihren anfänglichen Zugang, um eine alte Test-OAuth-Anwendung zu finden und zu hacken. Diese Anwendung gewährte erweiterten Zugriff auf die Microsoft-Unternehmensumgebung. Außerdem nutzten die Angreifer die App, um weitere schädliche OAuth-Anwendungen zu erstellen und diesen eine Rolle mit vollem Zugriff (full_access_as_app) auf Office 365 Exchange Online zuzuweisen. Dadurch erhielten sie Zugriff auf Mailboxen.
Solche Angriffe starten über eine verteilte Proxy-Infrastruktur, um ihre Herkunft zu verbergen. So kann der Bedrohungsakteur mit dem kompromittierten Mandanten und mit Exchange Online über viele IP-Adressen interagieren, die auch von legitimen Benutzern verwendet werden.
Microsoft hebt hervor, dass die Verwendung von sogenannten Residential Proxies durch APT29/Midnight Blizzard die herkömmliche Erkennung auf Basis von Kompromittierungsindikatoren (IoCs) aufgrund der häufig wechselnden IP-Adressen erschwert. Daher sollten Unternehmen Maßnahmen ergreifen, um sich vor betrügerischen OAuth-Anwendungen und Passwort-Spraying zu schützen.