مایکروسافت 18 برنامه Azure AD را که توسط Gadolinium APT چینی استفاده می شد ، از بین برد

مایکروسافت 18 برنامه Azure AD را که توسط Gadolinium APT چینی استفاده می شد ، از بین برد


مایکروسافت 18 برنامه Azure Active Directory را از پورتال Azure خود که توسط یک گروه APT Gadolinium مرتبط با چین ایجاد شده بود ، حذف کرد.

مایکروسافت این هفته اعلام کرد که 18 برنامه Azure Active Directory را از پورتال Azure خود که توسط یک گروه جاسوسی سایبری مرتبط با چین ایجاد شده

و تحت عنوان APT گروه Gadolinium (با نام مستعار APT40 یا لویاتان) ایجاد شده بودند ، حذف کرده است.

18 برنامه Azure AD در ماه آوریل توسط غول فناوری اطلاعات حذف شد ، مایکروسافت همچنین گزارشی منتشر کرد که شامل جزئیات فنی در مورد عملکرد Gadolinium است.

"مایکروسافت اقدامات پیشگیرانه ای را برای جلوگیری از استفاده مهاجمین از زیرساخت ابرِی ، برای اجرای حملات خود انجام داد و 18 برنامه Azure Active Directory را که ما تصمیم گرفتیم بخشی از زیرساخت کنترل و کنترل مخرب آنها باشند ، به حالت تعلیق درآورد."

گزارش مایکروسافت را بیان می کند.

GADOLINIUM از سرویس های ابری مایکروسافت به عنوان زیرساخت فرمان و کنترل سو استفاده می کند ، کارشناسان با استفاده از پیام هایی با ضمیمه های مسلح ، یک کمپین فیشینگ نیزه را کشف کردند.

عامل تهدید از یک فرآیند آلودگی چند مرحله ای استفاده می کند و از محموله های PowerShell به شدت استفاده می کند.

در اواسط آوریل سال 2020 ، بازیگران GADOLINIUM کمپینی با موضوع COVID-19 را آغاز کردند ، با باز کردن پیام ها ، سیستم هدف به بارهای مخرب مبتنی بر PowerShell آلوده می شود.

هنگامی که رایانه ها آلوده شدند ، عوامل تهدید از بدافزار PowerShell برای نصب یکی از 18 برنامه Azure AD استفاده کردند.

هکرها از یک برنامه Azure Active Directory برای پیکربندی نقطه پایانی قربانی با مجوزهای مورد نیاز برای فیلتر کردن اطلاعات ذخیره سازی Microsoft OneDrive تحت کنترل خود استفاده کردند.

GADOLINIUM لاجورد
"استفاده از این ماژول PowerShell Empire به ویژه شناسایی مانیتورینگ سنتی SOC چالش برانگیز است.

مهاجم از یک برنامه Azure Active Directory برای پیکربندی نقطه پایانی قربانی با مجوزهای مورد نیاز برای انتقال اطلاعات به فضای ذخیره سازی Microsoft OneDrive خود مهاجم استفاده می کند.

" تحلیل را ادامه می دهد. "از نقطه نظر یا نظارت بر شبکه ، فعالیت در ابتدا به نظر می رسد مربوط به برنامه های معتبر با استفاده از API های سرویس ابر مورد اعتماد است و در این سناریو ، هیچ پیام رضایت برای مجوزهای OAuth رخ نمی دهد. "

مایکروسافت همچنین یک حساب GitHub را که توسط گروه Gadolinium به عنوان بخشی از یک مبارزات 2018 مورد استفاده قرار گرفت ، از بین برد.

گزارش مایکروسافت همچنین شامل شاخص های سازش (IoC) برای کمپین گادولینیوم است.


1399-07-06
برای ثبت دیدگاه باید ورود کنید.ورود