หมีโคซี่ แบร์ (หรือที่รู้จักในชื่อ APT29 หรือ Nobelium) ผู้คุกคามชาวรัสเซียกำลังปรับใช้กลยุทธ์ใหม่เพื่อแทรกซึมบัญชี Microsoft 365 โดยมีเป้าหมายเพื่อขโมยข้อมูลนโยบายต่างประเทศที่มีความละเอียดอ่อน
ตามรายงานใหม่จากบริษัทรักษาความปลอดภัยทางไซเบอร์ Mandiant ซึ่งอ้างว่า Cozy Bear ใช้สามเทคนิคในการดำเนินการโจมตี (และปลอมแปลง)
การโจมตี Microsoft 365 ใหม่
นักวิจัยเตือน Purview Audit เป็นคุณสมบัติความปลอดภัยระดับสูงที่บันทึกว่ามีคนเข้าถึงบัญชีอีเมลนอกโปรแกรมหรือไม่ (ผ่านเบราว์เซอร์, Graph API หรือ Outlook) ด้วยวิธีนี้ แผนกไอทีสามารถจัดการบัญชีทั้งหมดและให้แน่ใจว่าไม่มีการเข้าถึงโดยไม่ได้รับอนุญาต
“นี่เป็นแหล่งบันทึกที่สำคัญในการพิจารณาว่าผู้ประสงค์ร้ายเข้าถึงกล่องจดหมายใดหรือไม่ รวมถึงการกำหนดขอบเขตของการเปิดเผย” Mandiant เขียน “นี่เป็นวิธีเดียวที่จะกำหนดการเข้าถึงกล่องจดหมายเฉพาะได้อย่างมีประสิทธิภาพเมื่อผู้คุกคามใช้เทคนิคเช่นการปลอมแปลงแอปพลิเคชันหรือ Graph API”
อย่างไรก็ตาม APT29 ตระหนักดีถึงคุณลักษณะนี้และต้องแน่ใจว่าได้ปิดใช้งานคุณลักษณะนี้ก่อนที่จะเข้าถึงอีเมลใดๆ
นักวิจัยยังพบว่า Cozy Bear ละเมิดกระบวนการลงทะเบียนด้วยตนเองสำหรับ MFA ใน Azure Active Directory (AD) เมื่อผู้ใช้พยายามลงชื่อเข้าใช้เป็นครั้งแรก จะต้องเปิดใช้งาน MFA ในบัญชีก่อน
ผู้คุกคามพยายามหลีกเลี่ยงคุณลักษณะนี้โดยการบังคับบัญชีที่ยังไม่ได้ลงทะเบียนสำหรับคุณลักษณะความปลอดภัยทางไซเบอร์ขั้นสูง จากนั้นพวกเขาจะดำเนินการตามกระบวนการให้เสร็จสิ้นในนามของเหยื่อ โดยให้สิทธิ์การเข้าถึงแบบไม่จำกัดไปยังโครงสร้างพื้นฐาน VPN ขององค์กรเป้าหมาย และทำให้เครือข่ายทั้งหมดและปลายทางของมัน
สุดท้าย Azure VM มีที่อยู่ IP ของ Microsoft แล้ว และเนื่องจาก Microsoft 365 ทำงานบน Azure ทีมไอทีจึงพยายามแยกแยะความแตกต่างระหว่างการรับส่งข้อมูลปกติและที่เป็นอันตราย Cozy Bear สามารถปกปิดกิจกรรม Azure AD ของคุณเพิ่มเติมโดยผสม URL ของแอปปกติกับกิจกรรมที่เป็นอันตราย
ความน่าจะเป็นที่ผู้ใช้ทั่วไปตกเป็นเป้าหมายของกลุ่มภัยคุกคามนั้นค่อนข้างต่ำ แต่องค์กรขนาดใหญ่จะต้องพิจารณาเวกเตอร์การโจมตี ซึ่งสามารถใช้เพื่อกำหนดเป้าหมายผู้บริหารระดับสูงและผู้อื่นที่เข้าถึงข้อมูลที่ละเอียดอ่อนได้