हैकर्स Microsoft 365 खातों में सेंध लगाने के नए तरीके खोजते हैं
रूसी सरकार समर्थित हमलावर कोज़ी बियर (जिसे APT29 या नोबेलियम के नाम से भी जाना जाता है) घुसपैठ करने के लिए नए हथकंडे अपनाता है माइक्रोसॉफ्ट 365 वर्गीकृत विदेश नीति की जानकारी चुराने की कोशिश करना।
यह साइबर सुरक्षा फर्म मैंडिएंट की एक नई रिपोर्ट के अनुसार है, जो दावा करती है कि कोज़ी बियर अपने हमलों को अंजाम देने (और छिपाने) के लिए तीन तकनीकों का उपयोग करता है।
- छेड़छाड़ किए गए ईमेल खातों को शामिल करने से पहले प्रति-दृश्य ऑडिट अक्षम करें
- ब्रूट फोर्स माइक्रोसॉफ्ट 365 पासवर्ड बहु-कारक प्रमाणीकरण (एमएफए) के लिए अभी तक पंजीकृत नहीं है
- Azure वर्चुअल मशीन का उपयोग करके या समझौता किए गए खाते के माध्यम से सेवाओं की खरीद करके ट्रैकिंग को कवर करें
नया Microsoft 365 हमला
शोधकर्ताओं का मानना है कि Purview ऑडिट एक उच्च स्तरीय सुरक्षा विशेषता है जो ईमेल कार्यक्रम से बाहर खाता ( ब्राउज़र, ग्राफ़ एपीआई, या आउटलुक के माध्यम से)। इस तरह, आईटी सभी खातों का प्रबंधन कर सकता है और सुनिश्चित कर सकता है कि कोई अनधिकृत पहुंच नहीं है।
“यह निर्धारित करने के लिए एक महत्वपूर्ण लॉग स्रोत है कि क्या कोई खतरा अभिनेता किसी विशेष मेलबॉक्स तक पहुंच रहा है और एक्सपोजर की सीमा निर्धारित कर रहा है,” मैंडिएंट ने लिखा। “किसी विशेष मेलबॉक्स तक पहुंच को प्रभावी ढंग से निर्धारित करने का एकमात्र तरीका यह है कि यदि हमलावर एप्लिकेशन प्रतिरूपण और ग्राफ़ एपीआई जैसी तकनीकों का उपयोग करता है।”
हालाँकि, APT29 इस सुविधा से पूरी तरह अवगत है और ईमेल तक पहुँचने से पहले इसे हमेशा निष्क्रिय कर देता है।
शोधकर्ताओं ने यह भी पाया कि कोज़ी बियर ने एज़्योर एक्टिव डायरेक्ट्री (एडी) में एमएफए स्व-पंजीकरण प्रक्रिया का दुरुपयोग किया। जब कोई उपयोगकर्ता पहली बार लॉग इन करने का प्रयास करता है, तो उसे पहले अपने खाते में एमएफए सक्षम करना होगा।
हमलावर इस सुविधा से बचने की कोशिश कर रहे हैं, उन खातों को जबरदस्ती करने के लिए जो अभी तक उन्नत साइबर सुरक्षा सुविधाओं में नामांकित नहीं हैं।फिर पीड़ित और लक्षित संगठन की ओर से प्रक्रिया पूरी करें वीपीएन इन्फ्रास्ट्रक्चर, और इस प्रकार संपूर्ण नेटवर्क और इसके समापन बिंदु।
अंत में, Azure’s आभासी मशीन Microsoft 365 के Azure पर चलने के साथ, IT टीमें सामान्य और दुर्भावनापूर्ण ट्रैफ़िक के बीच अंतर करने के लिए संघर्ष करती हैं। कोज़ी बियर सामान्य एप्लिकेशन एड्रेस URL को दुर्भावनापूर्ण गतिविधि के साथ जोड़कर Azure AD गतिविधि को और छिपा सकता है।
नियमित उपयोगकर्ताओं को खतरे वाले समूहों द्वारा लक्षित किए जाने की अपेक्षाकृत संभावना नहीं है, लेकिन बड़ी कंपनियों का उपयोग हाई-प्रोफाइल अधिकारियों और संवेदनशील जानकारी तक पहुंच वाले अन्य लोगों को लक्षित करने के लिए किया जा सकता है। आपको अटैक वैक्टर के बारे में पता होना चाहिए जो
