Облачные сервисы Microsoft уязвимы для хакерской кампании Nefarious Cozy Bear MFA

облачные сервисы Microsoft уязвимы
В новом отчете фирмы по кибербезопасности Mandiant подробно описывается продолжающаяся хакерская кампания, нацеленная на Microsoft 365. Субъектом этой кампании является продвинутая постоянная угроза (APT), известная как « Cozy Bear » или просто «APT29». Считается, что APT29 — это российская хакерская группа, спонсируемая Службой внешней разведки России (СВР). Mandiant связывает эту группу с ошеломляющим взломом SolarWinds в 2020 году, а также со многими другими кибератаками на стратегические интересы США и НАТО. APT29 также осуществил несколько атак на те же цели по указанию российского правительства.

Mandiant продолжает отслеживать поведение APT29, включая использование различных методов для доступа к учетным записям Microsoft 365 своих целей. Фирма по кибербезопасности недавно наблюдала за новой тактикой, используемой APT29 для обхода многофакторной аутентификации (MFA). Этот метод использует процесс самостоятельной регистрации MFA, встроенный в корпоративную службу идентификации Майкрософт, Azure Active Directory, а также аналогичные платформы.

Новости офиса Microsoft в Ванкувере
Офис Microsoft в Ванкувере

Организации могут использовать такие платформы, как Azure Active Directory, для развертывания MFA в масштабах всей организации с помощью процесса самостоятельной регистрации. Как только организация включает MFA, ее пользователям при следующем входе в систему будет предложено настроить MFA по крайней мере на одном устройстве. Хотя MFA функционирует как важный дополнительный уровень безопасности, он бесполезен до тех пор, пока процесс настройки не будет завершен. APT29 и другие злоумышленники обнаружили, что они могут захватывать учетные записи до того, как пользователи завершат процесс самостоятельной регистрации MFA.

По данным Mandiant, APT29 осуществил атаку на организацию, которая заключалась в подборе пароля учетной записи, которая была создана, но никогда не использовалась. Поскольку никто никогда не входил в учетную запись, учетная запись не была защищена MFA. Как только APT29 получил доступ к учетной записи, субъект угрозы завершил процесс самостоятельной регистрации MFA и использовал учетную запись для подключения к VPN организации.

Организации могут попытаться предотвратить эту форму несанкционированного доступа. обеспечив отсутствие неактивных учетных записей, незащищенных MFA. Системные администраторы могут и часто должны применять политики для автоматической деактивации учетных записей после определенного периода бездействия. Организации также могут потребовать, чтобы пользователи получили временный пропуск доступа в службе поддержки, чтобы завершить процесс самостоятельной регистрации MFA.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал