Как стать автором
Обновить

Microsoft удалила с платформы Azure почти два десятка приложений китайских хакеров

Время на прочтение 2 мин
Количество просмотров 2.4K
image

Microsoft отчиталась об удалении с сервиса Azure 18 приложений Azure Active Directory. Все они разрабатывались и использовались китайской группировкой хакеров Gadolinium (также APT40 или Leviathan). Приложения удалили в апреле этого года.

Хакеры использовали программы в 2020 году для распространения вредоносов. Тогда Microsoft охарактеризовала кампанию как «особенно сложную» для обнаружения. Она включала многоступенчатый процесс заражения и широко использовала полезные нагрузки на языке PowerShell.

Сначала осуществлялся фишинг, когда кибермошенники отправляли организациям письма с файлами PowerPoint, которые якобы содержали информацию COVID-19. При открытии этого документа на целевое устройство устанавливались вредоносные программы.

Вредоносное ПО применялось как раз для установки одного из удаленных приложений Azure AD. Они позволяли осуществить автоматическую настройку конечной точки жертвы с разрешениями, дающими возможность похищать и отправлять данные в подконтрольное злоумышленникам хранилище Microsoft OneDrive.

image

Microsoft также добилась удаления учетной записи Gadolinium на GitHub, которая использовалась при атаках в 2018 году.

image

Компания отмечает, что группировка начала модифицировать свой набор инструментов за счет проектов с открытым исходным кодом, чтобы усложнить отслеживание атак аналитиками. Облачные службы типа Azure часто предлагают бесплатную пробную версию или завести учетную запись с разовой оплатой PayGo.

image

Хэши вредоносных вложений:

  • faebff04d7ca9cca92975e06c4a0e9ce1455860147d8432ff9fc24622b7cf675
  • f61212ab1362dffd3fa6258116973fb924068217317d2bc562481b037c806a0a

Адреса электронной почты, принадлежащие участникам атак:

  • Chris.sukkar@hotmail.com
  • PhillipAdamsthird@hotmail.com
  • sdfwfde234sdws@outlook.com
  • jenny1235667@outlook.com
  • fghfert32423dsa@outlook.com
  • sroggeveen@outlook.com
  • RobertFetter.fdmed@hotmail.com
  • Heather.mayx@outlook.com

Идентификаторы в Azure Active Directory, связанные с вредоносными приложениями:

  • ae213805-a6a2-476c-9c82-c37dfc0b6a6c
  • afd7a273-982b-4873-984a-063d0d3ca23d
  • 58e2e113-b4c9-4f1a-927a-ae29e2e1cdeb
  • 8ba5106c-692d-4a86-ad3f-fc76f01b890d
  • be561020-ba37-47b2-99ab-29dd1a4312c4
  • 574b7f3b-36da-41ee-86b9-c076f999b1de
  • 941ec5a5-d5bf-419e-aa93-c5afd0b01eff
  • d9404c7d-796d-4500-877e-d1b49f02c9df
  • 67e2bb25-1f61-47b6-9ae3-c6104e587882
  • 9085bb9e-9b56-4b84-b21e-bd5d5c7b0de0
  • 289d71ad-54ee-44a4-8d9a-9294f19b0069
  • a5ea2576-4191-4e9a-bfed-760fff616fbf
  • 802172dc-8014-42a9-b765-133c07039f9f
  • fb33785b-f3f7-4b2b-b5c1-f688d3de1bde
  • c196c17d-1e3c-4049-a989-c62f7afaf7f3
  • 79128217-d61e-41f9-a165-e06e1d672069
  • f4a41d96-2045-4d75-a0ec-9970b0150b52
  • 88d43534-4128-4969-b5c4-ceefd9b31d02
См. также:

Теги:
Хабы:
+8
Комментарии 1
Комментарии Комментарии 1

Другие новости

Истории

Работа

Ближайшие события

Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн
Геймтон «DatsEdenSpace» от DatsTeam
Дата 5 – 6 апреля
Время 17:00 – 20:00
Место
Онлайн