Różności i nowinki technologia

Firma Microsoft uruchamia aplikacje z platformy Azure używane przez hakerów sponsorowanych przez Chiny

Płyta główna została poddana obróbce w Photoshopie i zawiera chińską flagę.
Powiększać / Chip komputerowy z chińską flagą, 3d koncepcyjna ilustracja.

Firmy z listy Fortune 500 nie są jedynymi, które przechodzą do usług w chmurze, takich jak Microsoft Azure. Coraz częściej hakerzy pracujący w imieniu chińskiego rządu również hostują swoje narzędzia w chmurze, co sprawia, że ​​ludzie w Redmond są zajęci.

Na początku tego roku członkowie Microsoft Threat Intelligence Center zawiesili 18 aplikacji Azure Active Directory po stwierdzeniu, że są częścią rozległej sieci dowodzenia i kontroli. Oprócz aplikacji hostowanych w chmurze, członkowie grupy hakerskiej, którą Microsoft nazywa Gadolinium, przechowywali również nieuczciwie pobrane dane na koncie Microsoft OneDrive i używali go do przeprowadzania różnych części kampanii.

Microsoft, Amazon i inni dostawcy usług w chmurze od dawna reklamują szybkość, elastyczność i skalę wynikającą z wynajmu zasobów obliczeniowych w razie potrzeby, zamiast korzystania z własnych serwerów dedykowanych. Wydaje się, że hakerzy zdają sobie sprawę z tych samych korzyści. Przejście do chmury może być szczególnie łatwe dzięki bezpłatnym usługom próbnym i jednorazowym kontom płatniczym, które pozwalają hakerom na szybkie rozpoczęcie pracy bez konieczności utrzymywania stałej relacji lub nawet ważnej karty płatniczej w pliku.

W tym samym czasie Gadolinium przyjął inny trend, który można znaleźć w zorganizowanych kręgach hakerskich – odejście od niestandardowego złośliwego oprogramowania i zwiększone wykorzystanie narzędzi open source, takich jak PowerShell. Ponieważ narzędzia są tak szeroko wykorzystywane do niegroźnych i legalnych zadań, ich złośliwe użycie jest znacznie trudniejsze do wykrycia. Zamiast polegać na niestandardowym oprogramowaniu do kontrolowania zainfekowanych urządzeń, Gadolinium zaczął ostatnio używać zmodyfikowanej wersji otwartego środowiska poeksploatacyjnego PowerShell Empire.

W opublikowanym w czwartek poście członkowie Microsoft Threat Intelligence Center Ben Koehl i Joe Hannon napisali:

Historycznie rzecz biorąc, GADOLINIUM korzystało z niestandardowych rodzin złośliwego oprogramowania, które analitycy mogą identyfikować i przed którymi mogli się bronić. W odpowiedzi, w ciągu ostatniego roku GADOLINIUM zaczął modyfikować fragmenty swojego łańcucha narzędzi, aby wykorzystywać zestawy narzędzi open source do zaciemniania ich aktywności i utrudniania analitykom śledzenia. Ponieważ usługi w chmurze często oferują bezpłatną wersję próbną lub jednorazową płatność (PayGo), złośliwi aktorzy znaleźli sposoby na wykorzystanie tych legalnych ofert biznesowych. Zakładając darmowe lub PayGo konta, mogą oni wykorzystać technologię opartą na chmurze do stworzenia złośliwej infrastruktury, którą można szybko stworzyć, a następnie usunąć przed wykryciem lub zrezygnować niewielkim kosztem.

Zestaw narzędzi Gadolinium PowerShell Empire umożliwia grupie atakującej bezproblemowe ładowanie nowych modułów za pomocą interfejsów programistycznych firmy Microsoft. Umożliwia również kontrolowanym przez atakującego kontom OneDrive wykonywanie poleceń i otrzymywanie wyników przesyłanych między systemami atakującego i ofiary.

„Użycie tego modułu PowerShell Empire jest szczególnie trudne do zidentyfikowania dla tradycyjnego monitorowania SOC” – napisali naukowcy, odnosząc się do centrów operacyjnych systemów, w których zespoły bezpieczeństwa monitorują sieci klientów pod kątem oznak cyberataków. „Atakujący używa aplikacji Azure Active Directory do skonfigurowania punktu końcowego ofiary z uprawnieniami potrzebnymi do wyprowadzenia danych do własnego magazynu Microsoft OneDrive”.

Podsumowanie ewolucji technik ataku gadolinu.
Powiększać / Podsumowanie ewolucji technik ataku gadolinu.

Microsoft

Zwinność i skala działają w obie strony

Ale chociaż chmura zapewnia korzyści atakującym, korzyści te działają w obie strony. Ponieważ ataki były przeprowadzane przy użyciu wiadomości e-mail typu spear phishing zawierających złośliwe załączniki, zostały wykryte, zablokowane i zarejestrowane przez Microsoft Defender. W końcu zostały ponownie połączone z infrastrukturą hostowaną na platformie Azure.

„Po wykryciu tych ataków firma Microsoft podjęła proaktywne kroki, aby uniemożliwić atakującym wykorzystywanie naszej infrastruktury chmury do przeprowadzania ataków i zawieszenie 18 aplikacji Azure Active Directory, które uznaliśmy za część ich złośliwej infrastruktury dowodzenia i kontroli” – kontynuował czwartkowy wpis. „Ta akcja pomogła w przejrzysty sposób chronić naszych klientów bez konieczności dodatkowej pracy po ich stronie”.

Microsoft powiedział, że usunął również konto GitHub, którego Gadolinium użył w podobnych atakach w 2018 roku.

Firma Microsoft wydaje teraz podpisy cyfrowe i nazwy profili, o których wiadomo, że były używane przez Gadolinium. Ludzie i organizacje mogą ich używać, aby stwierdzić, czy oni lub klienci byli ofiarami lub zamierzonymi ofiarami jakiegokolwiek włamania ze strony grupy.

„Gadolin bez wątpienia będzie ewoluował [its] taktyka w dążeniu do swoich celów ”- podsumował post. „Ponieważ zagrożenia te są skierowane przeciwko klientom firmy Microsoft, będziemy nadal tworzyć funkcje wykrywania i wdrażać zabezpieczenia, aby się przed nimi bronić”.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook