Открыть список
Как стать автором
Обновить

Microsoft удалила с платформы Azure почти два десятка приложений китайских хакеров

Информационная безопасностьMicrosoft Azure
image

Microsoft отчиталась об удалении с сервиса Azure 18 приложений Azure Active Directory. Все они разрабатывались и использовались китайской группировкой хакеров Gadolinium (также APT40 или Leviathan). Приложения удалили в апреле этого года.

Хакеры использовали программы в 2020 году для распространения вредоносов. Тогда Microsoft охарактеризовала кампанию как «особенно сложную» для обнаружения. Она включала многоступенчатый процесс заражения и широко использовала полезные нагрузки на языке PowerShell.

Сначала осуществлялся фишинг, когда кибермошенники отправляли организациям письма с файлами PowerPoint, которые якобы содержали информацию COVID-19. При открытии этого документа на целевое устройство устанавливались вредоносные программы.

Вредоносное ПО применялось как раз для установки одного из удаленных приложений Azure AD. Они позволяли осуществить автоматическую настройку конечной точки жертвы с разрешениями, дающими возможность похищать и отправлять данные в подконтрольное злоумышленникам хранилище Microsoft OneDrive.

image

Microsoft также добилась удаления учетной записи Gadolinium на GitHub, которая использовалась при атаках в 2018 году.

image

Компания отмечает, что группировка начала модифицировать свой набор инструментов за счет проектов с открытым исходным кодом, чтобы усложнить отслеживание атак аналитиками. Облачные службы типа Azure часто предлагают бесплатную пробную версию или завести учетную запись с разовой оплатой PayGo.

image

Хэши вредоносных вложений:

  • faebff04d7ca9cca92975e06c4a0e9ce1455860147d8432ff9fc24622b7cf675
  • f61212ab1362dffd3fa6258116973fb924068217317d2bc562481b037c806a0a

Адреса электронной почты, принадлежащие участникам атак:

  • Chris.sukkar@hotmail.com
  • PhillipAdamsthird@hotmail.com
  • sdfwfde234sdws@outlook.com
  • jenny1235667@outlook.com
  • fghfert32423dsa@outlook.com
  • sroggeveen@outlook.com
  • RobertFetter.fdmed@hotmail.com
  • Heather.mayx@outlook.com

Идентификаторы в Azure Active Directory, связанные с вредоносными приложениями:

  • ae213805-a6a2-476c-9c82-c37dfc0b6a6c
  • afd7a273-982b-4873-984a-063d0d3ca23d
  • 58e2e113-b4c9-4f1a-927a-ae29e2e1cdeb
  • 8ba5106c-692d-4a86-ad3f-fc76f01b890d
  • be561020-ba37-47b2-99ab-29dd1a4312c4
  • 574b7f3b-36da-41ee-86b9-c076f999b1de
  • 941ec5a5-d5bf-419e-aa93-c5afd0b01eff
  • d9404c7d-796d-4500-877e-d1b49f02c9df
  • 67e2bb25-1f61-47b6-9ae3-c6104e587882
  • 9085bb9e-9b56-4b84-b21e-bd5d5c7b0de0
  • 289d71ad-54ee-44a4-8d9a-9294f19b0069
  • a5ea2576-4191-4e9a-bfed-760fff616fbf
  • 802172dc-8014-42a9-b765-133c07039f9f
  • fb33785b-f3f7-4b2b-b5c1-f688d3de1bde
  • c196c17d-1e3c-4049-a989-c62f7afaf7f3
  • 79128217-d61e-41f9-a165-e06e1d672069
  • f4a41d96-2045-4d75-a0ec-9970b0150b52
  • 88d43534-4128-4969-b5c4-ceefd9b31d02
См. также:

Теги:microsoftazureactive directoryприложенияатакифишингхакерыкитай
Хабы: Информационная безопасность Microsoft Azure
Всего голосов 8: ↑8 и ↓0 +8
Просмотры2.1K

Похожие публикации

Администратор IDM системы
от 92 000 ₽ГК «РУСАГРО»Можно удаленно
Технический Писатель
от 30 000 до 50 000 ₽ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫВолгоград
Ведущий разработчик .net (web-приложения)
от 200 000 до 250 000 ₽ГК «РусПерсонал»Можно удаленно
Data Science Cloud Engineer (remote)
от 200 000 до 300 000 ₽Bergmann InfotechМожно удаленно
.Net developer
от 1 500 до 2 800 $EJawМожно удаленно

Лучшие публикации за сутки