Hackers hebben een nieuwe weg gevonden naar je Microsoft 365-account

Cybercriminelen forceren bruut in Azure AD-accounts zonder MFA

De Russische door de staat gesponsorde bedreigingsacteur Cozy Bear (ook bekend als APT29 of Nobelium) zet nieuwe tactieken in om Microsoft 365-accounts binnen te sluipen, in een poging gevoelige inlichtingen over buitenlands beleid te stelen.

Dit is volgens een nieuw rapport van cybersecuritybedrijf Mandiant, dat beweert dat Cozy Bear drie technieken gebruikt om de aanvallen uit te voeren (en te verbergen):

  1. Purview Audit uitschakelen voordat u een gecompromitteerd e-mailaccount gebruikt
  2. Brute-forcing Microsoft 365-wachtwoorden die zich nog moeten inschrijven voor multi-factor authentication (MFA)
  3. Hun tracks afdekken door Azure Virtual Machines te gebruiken via gecompromitteerde accounts of door de service aan te schaffen

Nieuwe Microsoft 365-aanval

Purview Audit, herinneren de onderzoekers eraan, is een beveiligingsfunctie op hoog niveau die logt als een persoon toegang heeft tot een e-mailaccount buiten het programma (via de browser, Graph API of via Outlook). Op die manier kunnen IT-afdelingen alle accounts beheren en ervoor zorgen dat er geen ongeautoriseerde toegang is.

APT29 is echter goed op de hoogte van deze functie en zorgt ervoor dat u deze uitschakelt voordat u toegang krijgt tot een e-mail.

De onderzoekers ontdekten ook dat Cozy Bear misbruik maakte van het zelfinschrijvingsproces voor MFA in Azure Active Directory (AD). Wanneer een gebruiker zich voor de eerste keer probeert aan te melden, moet deze eerst MFA inschakelen voor het account.

De bedreigingsactoren willen deze functie omzeilen door accounts die zich nog moeten inschrijven voor de geavanceerde cyberbeveiligingsfunctie bruut te forceren. Vervolgens voltooien ze het proces in plaats van het slachtoffer en verlenen ze onverminderde toegang tot de VPN-infrastructuur van de doelorganisatie en dus het hele netwerk en de eindpunten.

Ten slotte bevatten de virtuele machines van Azure al Microsoft IP-adressen en vanwege het feit dat Microsoft 365 op Azure draait, hebben IT-teams moeite om regelmatig en kwaadaardig verkeer te onderscheiden. Cozy Bear kan zijn Azure AD-activiteit verder verbergen door gewone URL’s van toepassingsadressen te combineren met schadelijke activiteit.

De kans dat reguliere gebruikers het doelwit worden van de bedreigingsgroep is vermoedelijk relatief klein, maar grote bedrijven moeten alert zijn op de aanvalsvector, die kan worden gebruikt om zich te richten op spraakmakende leidinggevenden en anderen met toegang tot gevoelige informatie.

Bron: techradar