I ricercatori di Mandiant hanno scoperto una nuova campagna di spionaggio attuata dal gruppo russo Cozy Bear (noto anche come Nobelium e APT29) contro utenti Microsoft 365 che lavorano in varie organizzazione dei paesi NATO. L’azienda statunitense, acquisita da Google a marzo, ha descritto le nuove tattiche, tecniche e procedure (TTP) usate dai cybercriminali.
Cozy Bear attacca utenti Microsoft 365
Cozy Bear è uno dei gruppi più prolifici in circolazione, essendo responsabili di numerosi attacchi contro target di alto profilo (governi, aziende, diplomatici). Per mettere in atto le recenti campagne di spionaggio, i cybercriminali hanno preso di mira il servizio di posta elettronica incluso in Microsoft 365.
La licenza E5 della suite di produttività offre la funzionalità Purview Audit che permette di monitorare l’accesso alle email, registrando indirizzo IP, user agent, timestamp e nome utente. I cybercriminali di Cozy Bear sono riusciti a disattivare la funzionalità prima di accedere alle caselle di posta delle vittime.
La gang ha inoltre sfruttato la procedura di self-enrollment per l’autenticazione multi-fattore (MFA) di Azure Active Directory. Quando un utente effettua il login ad un dominio per la prima volta, Windows chiede di attivare la MFA sull’account. Dopo aver trovato le credenziali di un account impostato ma dormiente, i cybercriminali hanno registrato il loro dispositivo, riuscendo ad accedere all’infrastruttura VPN dell’azienda.
Per nascondere le tracce degli attacchi, il gruppo russo ha inoltre effettuato l’accesso alla rete della vittima da macchine virtuali Azure (compromesse o acquistate). Dato che Microsoft 365 è basato su Azure, l’azienda non riesce facilmente a distinguere gli accessi effettuati da indirizzi IP legittimi da quelli non autorizzati.
Ti potrebbe interessare
20 ago 2022