• VLMI - форум по обмену информацией. На форуме можете найти способы заработка, разнообразную информацию по интернет-безопасности, обмен знаниями, курсы/сливы.

    После регистрации будут доступны основные разделы.

    Контент форума создают пользователи, администрация за действия пользователей не несёт ответственности, отказ от ответственности. Так же перед использованием форума необходимо ознакомиться с правилами ресурса. Продолжая использовать ресурс вы соглашаетесь с правилами.
  • Подпишись на наш канал в Telegram для информации о актуальных зеркалах форума: https://t.me/vlmiclub

Microsoft удалила 18 приложений Azure Active Directory, так как ими злоупотребляли китайские хакеры

M1Rz

Новостной куратор

M1Rz

Новостной куратор
Куратор
Сообщения
407
Реакции
251
10 руб.
Telegram
Представители компании Microsoft сообщили, что китайская группа правительственных хакеров Gadolinium (она же APT40 или Leviathan) создала и использовала 18 приложений Azure Active Directory для атак на клиентов Microsoft Azure. Все обнаруженные приложения были удалены с портала Azure в апреле текущего года.

В свежем отчете Microsoft описана новейшая тактика группировки, частью которой были вредоносные приложения Azure Active Directory. Специалисты характеризуют эти атаки, как «крайне сложные для обнаружения» в силу многоступенчатого процесса заражения и использования PowerShell-пейлоадов.


Так, атаки Gadolinium начались с фишинговых писем, нацеленных на конкретные организации. Такие послания содержали вредоносные документы (как правило, файлы PowerPoint), связанные с темой COVID-19. Пользователи, открывшие один из таких документов, становились жертвами малвари на основе PowerShell, а также в дело вступали вредоносные приложения Azure Active Directory.

Упомянутая PowerShell-малварь использовалась для установки на компьютеры жертвы одного из 18 приложений Azure Active Directory. Роль этих приложений заключалась в автоматической настройке эндпоинта жертвы таким образом, чтобы злоумышленники получили права, необходимые для хищения информации и ее загрузки в OneDrive.



Специалисты Microsoft пишут, что удалив эти 18 приложений, они хотя бы временно остановили атаки китайской группировки и заставили хакеров переосмыслить и перестроить свою инфраструктуру. Также Microsoft сообщила, что ранее добилась удаления учетной записи на GitHub, которую участники Gadolinium использовали в своих вредоносных кампаниях 2018 года. Это вряд ли оказало сильный эффект на операции APT40, но все же помешало хакерам повторно использовать одну и ту же учетную запись для разных атак.
 
Сверху Снизу