0
0
A Microsoft disse hoje que removeu 18 aplicativos do Azure Active Directory de seu portal Azure que foram criados e abusados por um grupo de hackers patrocinado pelo Estado chinês.
Os 18 aplicativos Azure AD foram retirados do portal Azure no início deste ano, em abril, disse a equipe de inteligência de ameaças da Microsoft em um relatório publicado hoje.
O relatório descreveu as táticas recentes usadas por um grupo hacker chinês conhecido como Gadolinium (também conhecido como APT40, ou Leviatã).
Os aplicativos Azure faziam parte da rotina de ataque do grupo em 2020, que a Microsoft descreveu como “particularmente desafiador” detectar devido ao seu processo de infecção em vários estágios e ao amplo uso de cargas do PowerShell.
Esses ataques começaram com e-mails de phishing direcionados às organizações-alvo, carregando documentos maliciosos, geralmente arquivos PowerPoint com um tema COVID-19.
As vítimas que abriram um desses documentos seriam infectadas com cargas de malware baseadas no PowerShell. Aqui é onde os aplicativos maliciosos do Azure AD também entrariam em jogo.
Em computadores infectados, a Microsoft disse que os hackers da Gadolinium usaram o malware PowerShell para instalar um dos 18 aplicativos Azure AD. A função desses aplicativos era configurar automaticamente o ponto final da vítima “com as permissões necessárias para exfiltrar dados para o próprio armazenamento Microsoft OneDrive do invasor”.
Ao remover os 18 aplicativos Azure AD, a Microsoft prejudicou os ataques do grupo hacker chinês, pelo menos por pouco tempo, mas também forçou os hackers a re-pensar e re-ferramentar sua infraestrutura de ataque.
Além disso, a Microsoft disse que também trabalhou para derrubar uma conta do GitHub que o mesmo grupo Gadolinium havia usado como parte de seus ataques de 2018. Essa ação pode não ter tido impacto em novas operações, mas impediu que os hackers reutilizassem a mesma conta para outros ataques no futuro.
As ações da Microsoft contra esse grupo de hackers chineses não são um caso isolado. Nos últimos anos, a Microsoft tem consistentemente intervindo para derrubar a infraestrutura de malware, pode ter sido usada por operadores de crimes cibernéticos de baixo nível ou por grupos de hackers patrocinados pelo estado de ponta.
Em intervenções anteriores, a Microsoft também tinha como alvo a infraestrutura usada por outros grupos de estado-nação, ligadas às operações cibernéticas iranianas, norte-coreanase russas.
FONTE: ZDNET