Microsoft heeft 18 Azure Active Directory-applicaties verwijderd uit zijn Azure-portal die zijn gemaakt door een aan China gekoppelde APT-groep Gadolinium.

Microsoft heeft deze week aangekondigd 18 Azure Active Directory-applicaties van zijn Azure-portal te hebben verwijderd die zijn gemaakt door een aan China gekoppelde cyberspionagegroep die wordt gevolgd als APT-groep Gadolinium (ook bekend als APT40 of Leviathan).

De 18 Azure AD-apps werden in april door de IT-gigant verwijderd, Microsoft publiceerde ook een rapport met technische details over de werking van Gadolinium.

“Microsoft heeft proactieve maatregelen genomen om te voorkomen dat aanvallers onze cloudinfrastructuur gebruiken om hun aanvallen uit te voeren en 18 Azure Active Directory-applicaties opgeschort waarvan we hebben vastgesteld dat ze deel uitmaken van hun kwaadaardige command & control-infrastructuur.” stelt het rapport van Microsoft.

GADOLINIUM misbruikt Microsoft-cloudservices

als commando- en controlinfrastructuur, ontdekten de experts een spear-phishing-campagne met berichten met bewapende bijlagen.

De bedreigingsacteur gebruikt een meerfasig infectieproces en maakt sterk gebruik van PowerShell-payloads. Half april 2020 lanceerden de GADOLINIUM-acteurs een campagne met een COVID-19-thema, en bij het openen van de berichten zou het systeem van het doelwit worden geïnfecteerd met PowerShell-gebaseerde malware-ladingen.

Zodra de computers waren geïnfecteerd, gebruikten de bedreigingsactoren de PowerShell-malware om een ​​van de 18 Azure AD-apps te installeren.

De hackers gebruikten een Azure Active Directory-applicatie om het eindpunt van het slachtoffer te configureren met de benodigde machtigingen om gegevens te exfiltreren in een Microsoft OneDrive-opslag onder hun controle.

“Het gebruik van deze PowerShell Empire-module is bijzonder uitdagend voor traditionele SOC-monitoring om te identificeren. De aanvaller gebruikt een Azure Active Directory-applicatie om een eindpunt van een slachtoffer te configureren met de machtigingen die nodig zijn om gegevens te exfiltreren naar de eigen Microsoft OneDrive-opslag van de aanvaller. ” vervolgt de analyse. “Vanuit het oogpunt van endpoint- of netwerkmonitoring lijkt de activiteit aanvankelijk gerelateerd te zijn aan vertrouwde applicaties die gebruik maken van vertrouwde API’s voor clouddiensten en in dit scenario vinden er geen toestemmingsprompts voor OAuth-machtigingen plaats. “

Microsoft heeft ook een GitHub-account verwijderd dat door de Gadolinium-groep werd gebruikt als onderdeel van een campagne in 2018.

Het rapport van Microsoft bevat ook Indicators of Compromise (IoC’s) voor de Gadolinium-campagne.

Bron: bleepingcomputer