Приложения Azure стали основным компонентом китайских кибератак в 2020 году

Сегодня Microsoft заявила, что удалила со своего портала Azure 18 приложений Azure Active Directory, которые были созданы и использовались группой хакеров, спонсируемой Китаем, передает comments.ua.

18 приложений Azure AD были удалены с портала Azure в апреле этого года, говорится в опубликованном сегодня отчете группы Microsoft по анализу угроз. В отчете описывается недавняя тактика, использованная китайской хакерской группой, известной как Gadolinium (также известная как APT40 или Левиафан).

Приложения Azure были частью программы атаки 2020 года, которую Microsoft охарактеризовала как "особенно сложную" для обнаружения из-за многоступенчатого процесса заражения и широкого использования полезных нагрузок PowerShell.

Microsoft заявила, что на зараженных компьютерах хакеры использовали вредоносное ПО PowerShell для установки одного из 18 приложений Azure AD. Роль этих приложений заключалась в автоматической настройке конечной точки жертвы "с разрешениями, необходимыми для эксфильтрации данных в собственное хранилище Microsoft OneDrive злоумышленника".

Удалив 18 приложений Azure AD, Microsoft остановила атаки китайской хакерской группы, по крайней мере, на короткое время, но также заставила хакеров переосмыслить и переоснастить свою инфраструктуру атак.

Кроме того, Microsoft заявила, что также работала над удалением учетной записи GitHub, которую та же группа Gadolinium использовала в рамках своих атак 2018 года. Это действие могло не повлиять на новые операции, но помешало хакерам повторно использовать ту же учетную запись для других атак в будущем.