Cozy Bear नई रणनीति के साथ MS 365 परिवेशों को लक्षित करता है
रूसी खुफिया एजेंसियों से संबद्ध एक एडवांस्ड पर्सिस्टेंट थ्रेट्स (APT) समूह ने कई तरह के साथ पीछा किया: आरामदायक भालूAPT29, या नोबेलियम ने Microsoft 365 परिवेशों को लक्षित करने के लिए कई तरह की नई रणनीति, तकनीकों और प्रक्रियाओं (TTPs) को अपनाया है, नई जानकारी से पता चला है। Mandiant द्वारा प्रकाशित.
मैंडिएंट की टीम ने कहा कि समूह हाल के महीनों में बहुत ही सफल रहा है, विशेष रूप से “नाटो देशों की विदेश नीतियों को प्रभावित करने और आकार देने के लिए जिम्मेदार संगठनों” को लक्षित कर रहा है। उन्होंने कहा कि कोज़ी बियर का दृढ़ता और आक्रामकता “रूसी सरकार द्वारा एक कठिन काम को दर्शाता है।”
शोधकर्ता डगलस बिएनस्टॉक के अनुसार, कोज़ी बियर के नए टीटीपी में से एक लक्ष्य को अस्पष्ट करने के लिए लक्ष्य के Microsoft 365 लाइसेंस के तत्वों को अक्षम करना शामिल है।
Microsoft 365 उत्पाद सूट के भीतर सेवाओं तक उपयोगकर्ता की पहुँच को नियंत्रित करने के लिए विभिन्न लाइसेंसिंग मॉडल का उपयोग करता है। इनमें से कुछ हैं Microsoft पूर्वावलोकन ऑडिट सर्विस।
Microsoft Purview ऑडिट मेल आइटम एक्सेस ऑडिटिंग को सक्षम बनाता है जो उपयोगकर्ता एजेंट स्ट्रिंग्स, टाइमस्टैम्प, आईपी पते और उपयोगकर्ताओं जैसे डेटा को रिकॉर्ड और लॉग करता है जब भी कोई मेल आइटम एक्सेस किया जाता है, जिससे हमलावरों के लिए यह बेहद मुश्किल हो जाता है। एक बुरा फोरेंसिक और अनुपालन जांच उपकरण। यह एक महत्वपूर्ण लॉग स्रोत है जिसे सुरक्षा पेशेवरों द्वारा एक्सेस और उपयोग किया जा सकता है ताकि यह निर्धारित किया जा सके कि किसी विशेष मेलबॉक्स से छेड़छाड़ की गई है या नहीं।
बिएनस्टॉक ने कहा कि उन्होंने समझौता किए गए किरायेदारों के भीतर लक्षित खातों पर परव्यू ऑडिट को अक्षम करके कोज़ी बियर लक्ष्य ईमेल हार्वेस्टिंग इनबॉक्स को देखा।
बिएनस्टॉक ने अपने लेख में कहा, “इस समय, संगठनों के पास यह पुष्टि करने के लिए कोई लॉग उपलब्ध नहीं है कि कौन से खातों को धमकी देने वाले अभिनेताओं द्वारा ईमेल संग्रह के लिए लक्षित किया गया था और कब।”
“APT29 के लक्ष्य और TTP को देखते हुए, मैंडिएंट का मानना है कि Purview ऑडिट को अक्षम करने के बाद ईमेल हार्वेस्टिंग सबसे संभावित गतिविधि है।
“अद्यतन श्वेतपत्र Microsoft 365 उपचार और सख्त रणनीतियाँ इस तकनीक का विवरण, साथ ही पहचान और उपचार सलाह शामिल करें। इसके अतिरिक्त, हमने Azure AD अन्वेषक को एक नए मॉड्यूल के साथ अपडेट किया है जो उन्नत ऑडिटिंग अक्षम उपयोगकर्ताओं पर रिपोर्ट करता है। “
लेकिन यह केवल आरामदायक भालू की चाल नहीं है। Bienstock की टीम ने Azure Active Directory (और अन्य प्लेटफ़ॉर्म) के भीतर बहु-कारक प्रमाणीकरण (MFA) स्व-पंजीकरण प्रक्रिया का लाभ उठाने के प्रयास में इस समूह का अवलोकन करना शुरू कर दिया।
यह तकनीक इस तथ्य का लाभ उठाती है कि Azure AD का डिफ़ॉल्ट कॉन्फ़िगरेशन नए MFA पंजीकरणों पर सख्त प्रवर्तन लागू नहीं करता है। इसका मतलब यह है कि वैध उपयोगकर्ता नाम और पासवर्ड वाला कोई भी व्यक्ति किसी भी स्थान और किसी भी उपकरण से अपने खाते तक पहुंच और पंजीकरण कर सकता है, जब तक कि वे मूल रूप से पंजीकृत व्यक्ति हैं। इसलिए।
एक घटना में टीम ने देखा, Cozy Bear ने उन खातों के पासवर्ड को सफलतापूर्वक क्रैक करने के लिए पुनर्प्राप्त किए गए मेलबॉक्सों की सूची के विरुद्ध क्रूर बल पासवर्ड का उपयोग किया जो सेट किए गए थे लेकिन उपयोग में नहीं थे। चूंकि यह खाता निष्क्रिय था, Azure AD ने धमकी देने वाले अभिनेता को एक वैध उपयोगकर्ता के रूप में MFA के लिए पंजीकरण करने के लिए प्रेरित किया, जिसने हमलावर को लक्ष्य संगठन के VPN बुनियादी ढांचे तक पहुंच प्रदान की, जो प्रमाणीकरण और MFA के लिए Azure AD का उपयोग कर रहा था। अब यह संभव है।
बिएनस्टॉक ने कहा कि उन्होंने सुनिश्चित किया कि प्रत्येक सक्रिय खाते में कम से कम एक एमएफए डिवाइस पंजीकृत हो और संगठन को पंजीकरण प्रक्रिया में अतिरिक्त सत्यापन जोड़ने के लिए आपूर्तिकर्ताओं के साथ काम करने के लिए प्रोत्साहित किया।
Microsoft के पास Azure AD उपयोगकर्ताओं के लिए इस आशय के उपकरण उपलब्ध हैं और इनका उपयोग उपयोगकर्ताओं को एक विश्वसनीय स्थान या विश्वसनीय उपकरण में होने या MFA के लिए पंजीकरण करने की आवश्यकता के लिए किया जाता है। स्थितियां।
अन्य क्षेत्रों में, Cozy Bear “असाधारण opsec और चोरी की रणनीति” प्रदर्शित करना जारी रखता है। गतिविधि अब विश्वसनीय Microsoft IP पतों से उत्पन्न होती है, उदाहरण के लिए, आपकी अपनी Azure वर्चुअल मशीन (VMs) से काम करना जिसे आपने खरीदा है या किसी तरह से समझौता किया है। लाल झंडे देने की संभावना कम है।
संभावित ट्रैकर्स को भ्रमित करने के लिए इस समूह को दुर्भावनापूर्ण लोगों के बीच कुछ हानिरहित प्रशासनिक कार्यों को मिलाने के लिए भी देखा गया है।
हाल ही में मैंडिएंट जांच में पाया गया कि कोज़ी बियर ने Azure AD में एक वैश्विक व्यवस्थापक खाते तक पहुंच प्राप्त की और लक्षित मेलबॉक्स से ईमेल प्राप्त करने के लिए एक सेवा प्रिंसिपल के पिछले दरवाजे का उपयोग किया। यह सेवा प्रिंसिपल के लिए एक नई कुंजी क्रेडेंशियल जोड़कर किया गया था, लेकिन इस प्रक्रिया में पिछले दरवाजे वाले सेवा प्रिंसिपल के प्रदर्शन नाम से मेल खाने वाले एक सामान्य नाम (सीएन) के साथ एक प्रमाण पत्र भी बनाया गया, इसमें एक नया आवेदन पता यूआरएल जोड़ा गया।
बिएनस्टॉक ने कहा कि आरामदायक भालू को हमले की सुविधा के लिए इन अंतिम रिसॉर्ट्स का सहारा लेने की आवश्यकता नहीं है। “इससे पता चलता है … कि APT29 में बहुत उच्च स्तर की तैयारी है और वे अपने कार्यों को वैध मानने की कोशिश कर रहे हैं,” उन्होंने कहा।
