Следующая новость
Предыдущая новость

Microsoft удалила 18 приложений Azure Active Directory, так как ими злоупотребляли китайские хакеры

25.09.2020 11:22
Microsoft удалила 18 приложений Azure Active Directory, так как ими злоупотребляли китайские хакеры

Рекомендуем почитать:

Хакинг для новичков

  • Содержание выпуска
  • Подписка на «Хакер»

Представители компании Microsoft сообщили, что китайская группа правительственных хакеров Gadolinium (она же APT40 или Leviathan) создала и использовала 18 приложений Azure Active Directory для атак на клиентов Microsoft Azure. Все обнаруженные приложения были удалены с портала Azure в апреле текущего года.

В свежем отчете Microsoft описана новейшая тактика группировки, частью которой были вредоносные приложения Azure Active Directory. Специалисты характеризуют эти атаки, как «крайне сложные для обнаружения» в силу многоступенчатого процесса заражения и использования PowerShell-пейлоадов.

Так, атаки Gadolinium начались с фишинговых писем, нацеленных на конкретные организации. Такие послания содержали вредоносные документы (как правило, файлы PowerPoint), связанные с темой COVID-19. Пользователи, открывшие один из таких документов, становились жертвами малвари на основе PowerShell, а также в дело вступали вредоносные приложения Azure Active Directory.

Упомянутая PowerShell-малварь использовалась для установки на компьютеры жертвы одного из 18 приложений Azure Active Directory. Роль этих приложений заключалась в автоматической настройке эндпоинта жертвы таким образом, чтобы злоумышленники получили права, необходимые для хищения информации и ее загрузки в OneDrive.

Microsoft удалила 18 приложений Azure Active Directory, так как ими злоупотребляли китайские хакеры

Специалисты Microsoft пишут, что удалив эти 18 приложений, они хотя бы временно остановили атаки китайской группировки и заставили хакеров переосмыслить и перестроить свою инфраструктуру. Также Microsoft сообщила, что ранее добилась удаления учетной записи на GitHub, которую участники Gadolinium использовали в своих вредоносных кампаниях 2018 года. Это вряд ли оказало сильный эффект на операции APT40, но все же помешало хакерам повторно использовать одну и ту же учетную запись для разных атак.

Источник

Последние новости