Hero Image
- Christian Grams

Russische APT29-Hacker missbrauchen Azure-Dienste, um Microsoft 365-Nutzer zu hacken

Quelle: mandiant.com (Englisch)

APT29 ist eine russische Spionagegruppe, die Mandiant seit mindestens 2014 verfolgt und die wahrscheinlich vom Auslandsgeheimdienst (SVR) gesponsert wird. Mandiant stellt weiterhin APT29-Operationen fest, die sich gegen die Interessen der Vereinigten Staaten (USA), der NATO und von Partnerländern richten. Trotz der Veröffentlichung mehrerer APT29-Operationen sind diese weiterhin äußerst produktiv. Im Jahr 2022 konzentrierte sich die APT29 auf Organisationen, die für die Beeinflussung und Gestaltung der Außenpolitik von NATO-Ländern zuständig sind. Dabei hat APT29 in mehreren Fällen Opfer, die bereits Jahre oder manchmal nur Monate zuvor kompromittiert worden waren, erneut angegriffen. Diese Hartnäckigkeit und Aggressivität deuten auf ein anhaltendes Interesse an diesen Informationen und eine strikte Beauftragung durch die russische Regierung hin.

Mandiant hat beobachtet, dass APT29 weiterhin außergewöhnliche operative Sicherheit und fortschrittliche Taktiken für Microsoft 365 an den Tag legt. Wir weisen auf mehrere neuere TTPs hin, die APT29 bei seinen jüngsten Operationen eingesetzt hat.

Deaktivieren von Lizenzen

Microsoft 365 verwendet eine Vielzahl von Lizenzierungsmodellen, um den Zugriff eines einzelnen Benutzers auf die Dienste der Microsoft 365-Produktsuite zu steuern. Die Lizenzen können auch Sicherheits- und Compliance-Einstellungen vorgeben, wie z. B. die Aufbewahrung von Protokollen und die Protokollierung von zugegriffenen Poststücken in Purview Audit. Die gängigsten Lizenzen sind E1, E3 und E5; es gibt jedoch eine Vielzahl anderer Lizenzpläne und granularer Add-Ons, die die Lizenzierung in M365 komplex machen.

Für einen Bedrohungsakteur ist eine der problematischsten Protokollierungsfunktionen Purview Audit, früher Advanced Audit. Diese Funktion, die mit E5-Lizenzen und bestimmten Add-Ons zur Verfügung steht, ermöglicht die Prüfung von Mail Items Accessed. Mail Items Accessed zeichnet den User-Agent-String, den Zeitstempel, die IP-Adresse und den Benutzer jedes Mal auf, wenn auf ein Mail-Element zugegriffen wird. Die Prüfung zeichnet jede Art von E-Mail-Zugriff auf, unabhängig davon, ob er über die Graph-API, Outlook, einen Browser oder eine andere Methode erfolgt. Dies ist eine wichtige Protokollquelle, um festzustellen, ob ein Bedrohungsakteur auf ein bestimmtes Postfach zugreift, und um den Umfang der Gefährdung zu bestimmen. Darüber hinaus ist dies die einzige Möglichkeit, den Zugriff auf ein bestimmtes Postfach effektiv zu bestimmen, wenn der Bedrohungsakteur Techniken wie Application Impersonation oder die Graph API verwendet.

Mandiant hat beobachtet, dass APT29 Purview Audit für bestimmte Konten in einem kompromittierten Mandanten deaktiviert hat. Nach der Deaktivierung wird der Posteingang zum Sammeln von E-Mails herangezogen. Zu diesem Zeitpunkt steht dem Unternehmen keine Protokollierung zur Verfügung, um zu bestätigen, welche Konten der Bedrohungsakteur für die E-Mail-Sammlung anvisiert hat und wann. Angesichts der Zielsetzung und der TTPs von APT29 ist Mandiant der Ansicht, dass das Sammeln von E-Mails die wahrscheinlichste Aktivität nach der Deaktivierung von Purview Audit ist. Wir haben unser Whitepaper "Remediation and Hardening Strategies for Microsoft 365" aktualisiert, um weitere Details zu dieser Technik sowie Hinweise zur Erkennung und Behebung zu geben. Außerdem haben wir den Azure AD Investigator mit einem neuen Modul aktualisiert, um über Benutzer mit deaktivierter erweiterter Überwachung zu berichten.

MFA-Übernahme ruhender Konten

Die Multi-Faktor-Authentifizierung (MFA) ist ein wichtiges Instrument, das Unternehmen einsetzen können, um Angriffe auf die Übernahme von Konten durch Bedrohungsakteure zu vereiteln. Indem sie von den Benutzern verlangen, dass sie sowohl etwas angeben, was sie wissen, als auch etwas, was sie besitzen, können Unternehmen das Risiko einer Kontokompromittierung erheblich verringern. MFA selbst ist jedoch kein Patentrezept. Mandiant hat bereits erörtert, wie Bedrohungsakteure Push-basierte MFA missbrauchen, um Benutzer mit Benachrichtigungen zu überhäufen, bis sie schließlich die Aufforderung akzeptieren und dem Bedrohungsakteur Zugriff gewähren. Microsoft hat vor kurzem angekündigt, dass es MFA-Push-Benachrichtigungen mit Nummernabgleich einführen wird, um dies zu bekämpfen.

Mandiant hat begonnen, einen weiteren Trend zu beobachten, bei dem Bedrohungsakteure, einschließlich APT29, den Selbstregistrierungsprozess für MFA in Azure Active Directory und anderen Plattformen ausnutzen. Wenn eine Organisation zum ersten Mal MFA durchsetzt, erlauben die meisten Plattformen den Benutzern, ihr erstes MFA-Gerät bei der nächsten Anmeldung zu registrieren. Dies ist häufig der von Organisationen gewählte Arbeitsablauf für die Einführung von MFA. In der Standardkonfiguration von Azure AD und anderen Plattformen gibt es keine zusätzlichen Erzwingungen für den MFA-Anmeldungsprozess. Mit anderen Worten: Jeder, der den Benutzernamen und das Kennwort kennt, kann von jedem Ort und jedem Gerät aus auf das Konto zugreifen, um MFA zu registrieren, solange er die erste Person ist, die dies tut.

In einem Fall führte APT29 einen Angriff zum Erraten von Passwörtern auf eine Liste von Mailboxen durch, die sie auf unbekanntem Wege erhalten hatten. Der Angreifer erriet erfolgreich das Passwort eines Kontos, das zwar eingerichtet, aber nie benutzt worden war. Da das Konto inaktiv war, forderte Azure AD APT29 auf, sich bei MFA zu registrieren. Nach der Registrierung konnte APT29 das Konto verwenden, um auf die VPN-Infrastruktur des Unternehmens zuzugreifen, die Azure AD für die Authentifizierung und MFA nutzte. Mandiant empfiehlt Unternehmen, sicherzustellen, dass für alle aktiven Konten mindestens ein MFA-Gerät registriert ist, und mit ihrem Plattformanbieter zusammenzuarbeiten, um den MFA-Registrierungsprozess um zusätzliche Überprüfungen zu ergänzen. Microsoft Azure AD hat kürzlich eine Funktion eingeführt, die es Unternehmen ermöglicht, Kontrollen für bestimmte Aktionen wie die Registrierung von MFA-Geräten durchzusetzen. Mithilfe von bedingtem Zugriff können Organisationen die Registrierung von MFA-Geräten auf vertrauenswürdige Orte, wie das interne Netzwerk, oder vertrauenswürdige Geräte beschränken. Organisationen können auch festlegen, dass MFA für die Registrierung von MFA-Geräten erforderlich ist. Um die dadurch entstehende "Henne-Ei-Situation" zu vermeiden, können Helpdesk-Mitarbeiter temporäre Zugangspässe an Mitarbeiter ausstellen, wenn diese sich zum ersten Mal anmelden oder ihr MFA-Gerät verlieren. Der Pass kann für eine begrenzte Zeit zur Anmeldung, zur Umgehung von MFA und zur Registrierung eines neuen MFA-Geräts verwendet werden.

Schwerpunkt auf operativer Sicherheit

APT29 demonstriert weiterhin außergewöhnliche operative Sicherheits- und Umgehungstaktiken. Mandiant hat beobachtet, dass APT29 neben der Verwendung von Proxies zur Verschleierung des Zugangs zu Opferumgebungen auf der letzten Meile auch virtuelle Azure-Maschinen einsetzt. Die von APT29 verwendeten virtuellen Maschinen befinden sich in Azure-Abonnements außerhalb der Opferorganisation. Mandiant weiß nicht, ob diese Abonnements kompromittiert oder von APT29 gekauft wurden. Der Zugriff über die letzte Meile von vertrauenswürdigen Microsoft-IP-Adressen aus verringert die Wahrscheinlichkeit einer Entdeckung. Da Microsoft 365 selbst auf Azure läuft, enthalten die Azure AD Sign-In und Unified Audit Logs bereits viele Microsoft-IP-Adressen, und es kann schwierig sein, schnell festzustellen, ob eine IP-Adresse zu einer bösartigen VM oder einem M365-Backend-Dienst gehört. Nach den Beobachtungen von Mandiant scheint es auch so zu sein, dass Microsoft-eigene IP-Adressen das Risiko der Erkennung durch Microsofts Berichte über riskante Sign-Ins und riskante Benutzer erheblich verringern.

Mandiant hat auch beobachtet, dass APT29 gutartige administrative Aktionen mit bösartigen Aktionen mischt. Bei einer kürzlich durchgeführten Untersuchung verschaffte sich APT29 beispielsweise Zugang zu einem globalen Administratorkonto in Azure AD. Sie nutzten das Konto, um einen Dienstprinzipal mit ApplicationImpersonation-Rechten zu hintertürmen und damit zu beginnen, E-Mails von gezielten Postfächern im Mandanten zu sammeln. Um dies zu erreichen, fügte APT29 dem Dienstprinzipal ein neues Zertifikat (Key Credential) hinzu. Nach der Hinzufügung war APT29 in der Lage, sich bei Azure AD als Service Principal zu authentifizieren und seine Rollen zum Sammeln von E-Mails zu verwenden. Um sich zu integrieren, erstellte APT29 das Zertifikat mit einem Common Name (CN), der mit dem Anzeigenamen des Backdoored Service Principal übereinstimmte. Darüber hinaus fügten sie dem Dienstprinzipal eine neue Anwendungsadressen-URL hinzu. Die hinzugefügte Adresse war völlig harmlos, wurde nicht benötigt, um ihre böswilligen Aktivitäten zu erleichtern, und stand im Zusammenhang mit der vom Anbieter dokumentierten Funktionalität der Anwendung. Diese Aktion zeigt, wie gut sich APT29 vorbereitet und wie sehr sie versuchen, ihre Aktionen als legitim zu tarnen.

Ausblick

APT29 entwickelt sein technisches Handwerk und sein Engagement für strenge operative Sicherheit weiter. Mandiant geht davon aus, dass APT29 weiterhin Techniken und Taktiken entwickeln wird, um auf neuartige und unauffällige Weise auf Microsoft 365 zuzugreifen.