Cyberthreat.id – Kelompok peretas Rusia yang didukung negara, APT 29 menargetkan akun Microsoft 365 di negara-negara NATO dan mencoba mengakses informasi kebijakan luar negeri.

APT29 adalah salah satu kelompok peretas paling terampil di Rusia, dan temuan Mandiant baru-baru ini menggarisbawahi persiapan tingkat tinggi dan pengetahuan mendalam tentang fungsi perangkat lunak yang ditargetkan.

Dikutip dari Bleeping Computer, peneliti keamanan dari Mandiant telah melacak aktivitas kelompok yang juga dikenal sebafai Cozy Bear pada tahun 2022, melaporkan bahwa para peretas Rusia telah dengan giat menargetkan akun Microsoft 365 dalam kampanye spionase.

“Para peneliti memperingatkan bahwa kelompok Rusia terus menunjukkan keamanan operasional yang luar biasa untuk mencegah analis menemukan dan mengungkap metode serangan mereka,” ujar peneliti keamanan di Mandiant.

Dalam laporan yang diterbitkan, Mandiant menyoroti beberapa taktik canggih APT29 dan beberapa TTP (taktik, teknik, dan prosedur) terbaru mereka. Menurut peneliti, pengguna Microsoft 365 dengan lisensi E5 tingkat tinggi menikmati fitur keamanan bernama "Audit Purview" (sebelumnya Audit Lanjutan) dimanfaatkan oleh APT29.

Saat diaktifkan, fitur ini mencatat agen pengguna, alamat IP, cap waktu, dan nama pengguna setiap kali email diakses secara terpisah dari program (Outlook, browser, Graph API). Penyusup jaringan tersembunyi seperti APT29 lebih suka gerakan mereka tidak dilacak. Jadi untuk menghindari audit pada akun yang disusupi, peretas menonaktifkan fitur Audit Purview pada pengguna yang ditargetkan bahkan sebelum mereka menyentuh folder email mereka.

“Ini adalah sumber log penting untuk menentukan apakah pelaku ancaman mengakses kotak surat tertentu, serta untuk menentukan cakupan paparan,” kata peneliti.

Peneliti menilai, hal ini adalah satu-satunya cara untuk secara efektif menentukan akses ke kotak surat tertentu ketika pelaku ancaman menggunakan teknik seperti Application Impersonation atau Graph API.

Sementara itu, temuan menarik kedua Mandiant adalah APT29 memanfaatkan proses pendaftaran mandiri untuk otentikasi multi-faktor (MFA) di Azure Active Directory (AD). Saat pengguna mencoba masuk ke domain dengan kebijakan pendaftaran mandiri untuk pertama kalinya, Windows akan meminta mereka untuk mengaktifkan MFA di akun.

Peretas Rusia melakukan serangan brute force pada nama pengguna dan kata sandi akun yang tidak pernah masuk ke domain dan mendaftarkan perangkat mereka di MFA. Dengan mengaktifkan MFA, mereka telah memenuhi prasyarat keamanan yang relevan untuk menggunakan infrastruktur VPN organisasi yang disusupi, sehingga APT29 bebas menjelajah di jaringan yang dilanggar.

“Mandiant mengamati kelompok ancaman menggunakan Mesin Virtual Azure melalui akun yang disusupi atau dengan membeli layanan untuk menyembunyikan jejak mereka,” kata peneliti.

Menurut peneliti,

Azure VMs mencemari log dengan alamat IP Microsoft, dan karena Microsoft 365 berjalan di Azure, sulit bagi pembela untuk membedakan lalu lintas reguler dari tindakan jahat. APT29 mengaburkan aktivitas admin Azure AD-nya dengan mencampurkan tindakan berbahaya seperti layanan backdooring untuk mengumpulkan email dengan penambahan URL Alamat Aplikasi yang tidak berbahaya.

Sebelumnya, pada Januari 2022, CrowdStrike menemukan bahwa APT29 melewati langkah-langkah MFA di akun O365 selama bertahun-tahun, menggunakan cookie browser curian untuk membajak sesi yang valid. Pada Mei 2022, Mandiant menemukan gelombang kampanye phishing yang diatur oleh kelompok ancaman tertentu, yang menargetkan pemerintah, kedutaan, dan pejabat tinggi di seluruh Eropa.

Sementara, pada Juli 2022, analis Palo Alto Networks mengungkapkan APT29 menyalahgunakan layanan penyimpanan cloud Google Drive dan Dropbox untuk penyebaran malware yang lebih aman dan pemusnahan data.