Laut dem US-Security-Unternehmen Mandiant nutzt die russische Angreifergruppe APT29 neue Vorgehensweisen, um Microsoft-365-Umgebungen von Unternehmen zu kompromittieren. Zum Beispiel deaktivieren die Angreifer Purview Audit in Microsoft oder kompromittieren die Self-Service-Registrierung für die Multi-Faktor-Authentifizierung (MFA) im Azure Active Directory. APT29 ist die Gruppierung, die hinter dem SolarWinds-Angriff aus dem Jahr 2021 steckt.
APT29 ist eine russische Spionagegruppe, die Mandiant seit mindestens 2014 auf dem Radar hat. Die US-Security-Spezialisten gehen davon aus, dass die Gruppierung vom russischen Auslandsgeheimdienst (SVR) gesponsert wird. Mandiant warnt, man stelle nach wie vor APT29-Operationen fest, die sich gegen die Interessen der USA, der NATO und von Partnerländern richten.
Obwohl bereits diverse APT29-Operationen publik wurden, sei die Angreifergruppe weiterhin äußerst produktiv, so Mandiant. Dieses Jahr konzentriere sich APT29 auf Organisationen, die an der Gestaltung der Außenpolitik von NATO-Ländern beteiligt sind. Dabei habe die Gruppierung in mehreren Fällen Opfer, die bereits Jahre oder manchmal nur Monate zuvor kompromittiert worden waren, erneut angegriffen. Diese Hartnäckigkeit und Aggressivität deute auf ein anhaltendes Interesse an diesen Informationen und den strikten Auftrag durch die russische Regierung hin.
Mandiant hat laut eigenen Angaben beobachtet, dass APT29 fortschrittliche Taktiken für Angriffe auf Microsoft 365 an den Tag legt. Eine dieser Taktiken zielt auf Microsofts Audit-Funktionalität.
Microsoft verwendet, wie Mandiant ausführt, eine Vielzahl von Lizenzmodellen, um den Nutzerzugriff auf die Dienste der Microsoft-365-Produktreihe zu steuern. Die gängigsten Lizenzen sind E1, E3 und E5; es gibt jedoch eine Vielzahl anderer Lizenzpläne und granularer Add-ons, die die Lizenzierung in M365 komplex machen. Die Lizenzen können auch Sicherheits- und Compliance-Einstellungen vorgeben, zum Beispiel durch Purview Audit.
Diese Funktion, erhältlich mit E5-Lizenzen und bestimmten Add-ons, ermöglicht die Prüfung aufgerufener E-Mail-Objekte (Mail Items Accessed). Mail Items Accessed zeichnet den User-Agent-String, den Zeitstempel, die IP-Adresse und den Benutzer jedes Mal auf, wenn ein Zugriff auf ein Mail-Element erfolgt – unabhängig davon, ob per Graph-API, Outlook, einen Browser oder eine andere Methode.
Damit, so Mandiant, ist Purview Audit eine wichtige Protokollquelle, um festzustellen, ob ein Bedrohungsakteur auf ein bestimmtes Postfach zugreift und welches Ausmaß die Gefährdung hat. Zudem sei dies die einzige Möglichkeit, den Zugriff auf ein bestimmtes Postfach effektiv zu bestimmen, wenn der Bedrohungsakteur Techniken wie Application Impersonation oder die Graph API verwendet.
Mandiant hat nun beobachtet, dass APT29 Purview Audit für bestimmte Konten in einem kompromittierten Mandanten deaktiviert hat. Danach nimmt die Gruppe den Posteingang für das Sammeln von E-Mails ins Visier. Dabei steht dem betroffenen Unternehmen keine Protokollierung mehr zur Verfügung, die bestätigt, welche Konten der Bedrohungsakteur für die E-Mail-Sammlung anvisiert hat und wann. Mandiant geht davon aus, dass das Sammeln von E-Mails die wahrscheinlichste Aktivität nach der Deaktivierung von Purview Audit ist.