Microsoft удалила с платформы Azure почти два десятка приложений китайских хакеров

Microsoft отчиталась об удалении с сервиса Azure 18 приложений Azure Active Directory. Все они разрабатывались и использовались китайской группировкой хакеров Gadolinium (также APT40 или Leviathan). Приложения удалили в апреле этого года.

Хакеры использовали программы в 2020 году для распространения вредоносов. Тогда Microsoft охарактеризовала кампанию как «особенно сложную» для обнаружения. Она включала многоступенчатый процесс заражения и широко использовала полезные нагрузки на языке PowerShell.

Сначала осуществлялся фишинг, когда кибермошенники отправляли организациям письма с файлами PowerPoint, которые якобы содержали информацию COVID-19. При открытии этого документа на целевое устройство устанавливались вредоносные программы.

Вредоносное ПО применялось как раз для установки одного из удаленных приложений Azure AD. Они позволяли осуществить автоматическую настройку конечной точки жертвы с разрешениями, дающими возможность похищать и отправлять данные в подконтрольное злоумышленникам хранилище Microsoft OneDrive.

Microsoft также добилась удаления учетной записи Gadolinium на GitHub, которая использовалась при атаках в 2018 году.

Компания отмечает, что группировка начала модифицировать свой набор инструментов за счет проектов с открытым исходным кодом, чтобы усложнить отслеживание атак аналитиками. Облачные службы типа Azure часто предлагают бесплатную пробную версию или завести учетную запись с разовой оплатой PayGo.

Хэши вредоносных вложений:

  • faebff04d7ca9cca92975e06c4a0e9ce1455860147d8432ff9fc24622b7cf675
  • f61212ab1362dffd3fa6258116973fb924068217317d2bc562481b037c806a0a

Адреса электронной почты, принадлежащие участникам атак:

  • Chris.sukkar@hotmail.com
  • PhillipAdamsthird@hotmail.com
  • sdfwfde234sdws@outlook.com
  • jenny1235667@outlook.com
  • fghfert32423dsa@outlook.com
  • sroggeveen@outlook.com
  • RobertFetter.fdmed@hotmail.com
  • Heather.mayx@outlook.com

Идентификаторы в Azure Active Directory, связанные с вредоносными приложениями:

  • ae213805-a6a2-476c-9c82-c37dfc0b6a6c
  • afd7a273-982b-4873-984a-063d0d3ca23d
  • 58e2e113-b4c9-4f1a-927a-ae29e2e1cdeb
  • 8ba5106c-692d-4a86-ad3f-fc76f01b890d
  • be561020-ba37-47b2-99ab-29dd1a4312c4
  • 574b7f3b-36da-41ee-86b9-c076f999b1de
  • 941ec5a5-d5bf-419e-aa93-c5afd0b01eff
  • d9404c7d-796d-4500-877e-d1b49f02c9df
  • 67e2bb25-1f61-47b6-9ae3-c6104e587882
  • 9085bb9e-9b56-4b84-b21e-bd5d5c7b0de0
  • 289d71ad-54ee-44a4-8d9a-9294f19b0069
  • a5ea2576-4191-4e9a-bfed-760fff616fbf
  • 802172dc-8014-42a9-b765-133c07039f9f
  • fb33785b-f3f7-4b2b-b5c1-f688d3de1bde
  • c196c17d-1e3c-4049-a989-c62f7afaf7f3
  • 79128217-d61e-41f9-a165-e06e1d672069
  • f4a41d96-2045-4d75-a0ec-9970b0150b52
  • 88d43534-4128-4969-b5c4-ceefd9b31d02

Источник

Показать больше

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»