Microsoft ha recentemente evidenziato un allarme sulla crescente attività di un gruppo di minaccia sponsorizzato dallo stato russo, conosciuto come APT29. Questo gruppo, noto anche con diversi altri nomi, sta intensificando i suoi attacchi contro organizzazioni globali.
Attività di APT29 e Obiettivi
APT29 è conosciuto per prendere di mira principalmente governi, entità diplomatiche, organizzazioni non governative (ONG) e fornitori di servizi IT, principalmente negli Stati Uniti e in Europa. L’obiettivo principale di queste missioni di spionaggio è raccogliere informazioni sensibili di interesse strategico per la Russia, mantenendo al contempo un accesso prolungato alle reti target senza attirare attenzione.
Tecniche e Tattiche di APT29
APT29 utilizza una varietà di metodi di accesso iniziale, che vanno dall’uso di credenziali rubate agli attacchi alla catena di approvvigionamento, sfruttando gli ambienti on-premises per spostarsi lateralmente verso il cloud e sfruttando la catena di fiducia dei fornitori di servizi per accedere ai clienti downstream. In particolare, il gruppo è noto per identificare e abusare delle applicazioni OAuth per muoversi lateralmente attraverso le infrastrutture cloud e per attività post-compromissione, come la raccolta di email.
Incidente di Novembre 2023 e Misurazioni di Sicurezza
Nell’incidente che ha coinvolto Microsoft nel novembre 2023, APT29 ha usato un attacco di password spray per infiltrarsi con successo in un account tenant di test legacy non in produzione, che non aveva l’autenticazione a più fattori (MFA) attivata. Gli attacchi sono stati lanciati da un’infrastruttura proxy residenziale distribuita per nascondere le loro origini, consentendo all’attore della minaccia di interagire con il tenant compromesso e con Exchange Online tramite una vasta rete di indirizzi IP utilizzati anche dagli utenti legittimi.
Consigli per le Organizzazioni
Microsoft sottolinea l’importanza per le organizzazioni di adottare misure di difesa contro le applicazioni OAuth fraudolente e gli attacchi di password spraying. La capacità di APT29 di usare proxy residenziali per offuscare le connessioni rende il rilevamento basato su indicatori di compromissione (IoC) impraticabile a causa del rapido cambiamento degli indirizzi IP.