Microsoft ha annunciato giovedì che dei criminali informatici che sono stati mandati dalla Russia, responsabili di un attacco informatico ai suoi sistemi alla fine di novembre 2023, hanno preso di mira altre organizzazioni e che attualmente Microsoft stessa sta iniziando a informarle, riguardo un gruppo hacker noto come APT29.
Cosa dice Microsoft riguardo il gruppo hacker russo APT29
Lo sviluppo arriva un giorno dopo che Hewlett Packard Enterprise (HPE) ha rivelato di essere stata vittima di un attacco perpetrato da un gruppo di hacker identificato come APT29, noto anche come BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard (precedentemente Nobelium) e The Dukes.
“Questo gruppo di criminali informatici è noto per mirare principalmente a governi, entità diplomatiche, organizzazioni non governative (ONG) e fornitori di servizi IT, principalmente negli Stati Uniti e in Europa“, ha dichiarato il team di intelligence sulle minacce di Microsoft in un nuovo avviso.
L’obiettivo principale di queste missioni di spionaggio è raccogliere informazioni sensibili di interesse strategico per la Russia mantenendo posizioni per periodi prolungati senza attirare attenzioni degli esperti di sicurezza informatica.
La recente divulgazione indica che la portata della campagna potrebbe essere stata più ampia di quanto si pensasse inizialmente; tuttavia, il colosso tecnologico non ha rivelato quali altre entità siano state prese di mira.
Le operazioni di APT29 coinvolgono l’uso di account legittimi (account legittimi, vuol dire sostanzialmente account rubati) ma compromessi per ottenere e espandere l’accesso all’interno di un ambiente target e passare inosservati; è anche noto per identificare e abusare delle applicazioni OAuth per muoversi lateralmente attraverso infrastrutture cloud e per attività post-compromissione, come la raccolta di email.
“Utilizzano diversi metodi di accesso iniziale che vanno dalle credenziali rubate agli attacchi alla catena di approvvigionamento, sfruttamento degli ambienti on-premises per muoversi lateralmente verso il cloud e sfruttamento della catena di fiducia dei fornitori di servizi per ottenere accesso ai clienti downstream“, ha reso noto la Microsoft.
Un’altra tattica notevole prevede l’uso di account utente violati per creare, modificare e concedere alte autorizzazioni alle applicazioni OAuth che possono essere utilizzate per nascondere attività dannose; pertanto tutto questo consente ai criminali informatici di mantenere l’accesso alle applicazioni, anche se perdono l’accesso all’account compromesso inizialmente, ha sottolineato l’azienda.
Queste applicazioni OAuth dannose vengono infine utilizzate per autenticarsi su Microsoft Exchange Online e prendere di mira gli account di posta elettronica aziendali di Microsoft per estrarre dati di interesse.
Nell’incidente che ha preso di mira Microsoft nel novembre 2023, il gruppo hacker in questione (APT29) ha utilizzato un attacco di password spray per infiltrarsi con successo in un account di un tenant di test legacy e non di produzione che non aveva l’autenticazione a due fattori (MFA) abilitata.
Attacchi simili vengono lanciati da un’infrastruttura di proxy residenziale distribuita per nascondere le proprie origini, consentendo al gruppo di hacker di interagire con il tenant compromesso e con Exchange Online attraverso una vasta rete di indirizzi IP utilizzati anche da utenti legittimi.
“L’uso dei proxy residenziali da parte di Midnight Blizzard per oscurare le connessioni rende la rilevazione basata su indicatori di compromissione (IoC) tradizionali impraticabile a causa dell’alto tasso di cambio degli indirizzi IP“, ha affermato Redmond, sottolineando la necessità che le organizzazioni adottino misure per difendersi dalle applicazioni OAuth fraudolente e dagli attacchi di password spray.