[Microsoft Azure, Информационная безопасность] Microsoft удалила с платформы Azure почти два десятка приложений китайских хакеров
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Microsoft отчиталась об удалении с сервиса Azure 18 приложений Azure Active Directory. Все они разрабатывались и использовались китайской группировкой хакеров Gadolinium (также APT40 или Leviathan). Приложения удалили в апреле этого года.
Хакеры использовали программы в 2020 году для распространения вредоносов. Тогда Microsoft охарактеризовала кампанию как «особенно сложную» для обнаружения. Она включала многоступенчатый процесс заражения и широко использовала полезные нагрузки на языке PowerShell.
Сначала осуществлялся фишинг, когда кибермошенники отправляли организациям письма с файлами PowerPoint, которые якобы содержали информацию COVID-19. При открытии этого документа на целевое устройство устанавливались вредоносные программы.
Вредоносное ПО применялось как раз для установки одного из удаленных приложений Azure AD. Они позволяли осуществить автоматическую настройку конечной точки жертвы с разрешениями, дающими возможность похищать и отправлять данные в подконтрольное злоумышленникам хранилище Microsoft OneDrive.
Microsoft также добилась удаления учетной записи Gadolinium на GitHub, которая использовалась при атаках в 2018 году.
Компания отмечает, что группировка начала модифицировать свой набор инструментов за счет проектов с открытым исходным кодом, чтобы усложнить отслеживание атак аналитиками. Облачные службы типа Azure часто предлагают бесплатную пробную версию или завести учетную запись с разовой оплатой PayGo.
Хэши вредоносных вложений:
- faebff04d7ca9cca92975e06c4a0e9ce1455860147d8432ff9fc24622b7cf675
- f61212ab1362dffd3fa6258116973fb924068217317d2bc562481b037c806a0a
Адреса электронной почты, принадлежащие участникам атак:
- Chris.sukkar@hotmail.com
- PhillipAdamsthird@hotmail.com
- sdfwfde234sdws@outlook.com
- jenny1235667@outlook.com
- fghfert32423dsa@outlook.com
- sroggeveen@outlook.com
- RobertFetter.fdmed@hotmail.com
- Heather.mayx@outlook.com
Идентификаторы в Azure Active Directory, связанные с вредоносными приложениями:
- ae213805-a6a2-476c-9c82-c37dfc0b6a6c
- afd7a273-982b-4873-984a-063d0d3ca23d
- 58e2e113-b4c9-4f1a-927a-ae29e2e1cdeb
- 8ba5106c-692d-4a86-ad3f-fc76f01b890d
- be561020-ba37-47b2-99ab-29dd1a4312c4
- 574b7f3b-36da-41ee-86b9-c076f999b1de
- 941ec5a5-d5bf-419e-aa93-c5afd0b01eff
- d9404c7d-796d-4500-877e-d1b49f02c9df
- 67e2bb25-1f61-47b6-9ae3-c6104e587882
- 9085bb9e-9b56-4b84-b21e-bd5d5c7b0de0
- 289d71ad-54ee-44a4-8d9a-9294f19b0069
- a5ea2576-4191-4e9a-bfed-760fff616fbf
- 802172dc-8014-42a9-b765-133c07039f9f
- fb33785b-f3f7-4b2b-b5c1-f688d3de1bde
- c196c17d-1e3c-4049-a989-c62f7afaf7f3
- 79128217-d61e-41f9-a165-e06e1d672069
- f4a41d96-2045-4d75-a0ec-9970b0150b52
- 88d43534-4128-4969-b5c4-ceefd9b31d02
===========
Источник:
habr.com
===========
Похожие новости:
- [Microsoft SQL Server, ERP-системы] Оптимизация производительности Microsoft Dynamics AX 2012 & 365 FO. Использование Plan guides для тяжелых запросов
- [Microsoft Azure, SharePoint, Облачные сервисы, Разработка для Office 365] Автоматизация процесса адаптации сотрудников на Microsoft Power Platform с использованием чат-ботов Teams
- [Информационная безопасность, Сетевое оборудование, Сетевые технологии, Системное администрирование] 1. FortiAnalyzer Getting Started v6.4. Введение
- [Информационная безопасность, IT-инфраструктура, Сетевые технологии, Сетевое оборудование] Разбор самого демократичного из SD-WAN: архитектура, настройка, администрирование и подводные камни
- [Информационная безопасность] Pastebin добавил парольную защиту и «сжечь после прочтения»
- [Информационная безопасность, Системное администрирование, Сетевые технологии] Учимся вместе c Check Point
- [IT-компании, Информационная безопасность, Разработка мобильных приложений, Социальные сети и сообщества] В Instagram нашли уязвимость, связанную с обработкой изображений
- [CTF, Информационная безопасность] Hack The Box. Прохождение Admirer. Уязвимость в Admirer и RCE через подмену переменной среды
- [IT-компании, Информационная безопасность, Разработка под Windows] Microsoft начала внутреннее расследование утечки исходных кодов Windows XP и Windows Server 2003
- [Информационная безопасность, Видеотехника] Московскую систему распознавания лиц от NtechLab протестируют в регионах
Теги для поиска: #_microsoft_azure, #_informatsionnaja_bezopasnost (Информационная безопасность), #_microsoft, #_azure, #_active_directory, #_prilozhenija (приложения), #_ataki (атаки), #_fishing (фишинг), #_hakery (хакеры), #_kitaj (китай), #_microsoft_azure, #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 14:38
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Microsoft отчиталась об удалении с сервиса Azure 18 приложений Azure Active Directory. Все они разрабатывались и использовались китайской группировкой хакеров Gadolinium (также APT40 или Leviathan). Приложения удалили в апреле этого года. Хакеры использовали программы в 2020 году для распространения вредоносов. Тогда Microsoft охарактеризовала кампанию как «особенно сложную» для обнаружения. Она включала многоступенчатый процесс заражения и широко использовала полезные нагрузки на языке PowerShell. Сначала осуществлялся фишинг, когда кибермошенники отправляли организациям письма с файлами PowerPoint, которые якобы содержали информацию COVID-19. При открытии этого документа на целевое устройство устанавливались вредоносные программы. Вредоносное ПО применялось как раз для установки одного из удаленных приложений Azure AD. Они позволяли осуществить автоматическую настройку конечной точки жертвы с разрешениями, дающими возможность похищать и отправлять данные в подконтрольное злоумышленникам хранилище Microsoft OneDrive. Microsoft также добилась удаления учетной записи Gadolinium на GitHub, которая использовалась при атаках в 2018 году. Компания отмечает, что группировка начала модифицировать свой набор инструментов за счет проектов с открытым исходным кодом, чтобы усложнить отслеживание атак аналитиками. Облачные службы типа Azure часто предлагают бесплатную пробную версию или завести учетную запись с разовой оплатой PayGo. Хэши вредоносных вложений:
Адреса электронной почты, принадлежащие участникам атак:
Идентификаторы в Azure Active Directory, связанные с вредоносными приложениями:
=========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 14:38
Часовой пояс: UTC + 5