28/09/20
Компания Microsoft удалила со своего портала Azure 18 приложений Azure Active Directory, которые были разработаны и использовались киберпреступной китайской группировкой Gadolinium (также известная как APT40 или Leviathan). Программы были удалены в апреле нынешнего года.
Приложения Azure использовались в рамках вредоносной кампании в 2020 году, которую Microsoft охарактеризовала как «особенно сложную» для обнаружения из-за многоступенчатого процесса заражения и широкого использования полезных нагрузок, написанных на языке PowerShell.
Атаки начались с целенаправленного фишинга, в рамках которого преступники отправляли организациям вредоносные письма, обычно содержащие файлы PowerPoint на тему COVID-19. Как только жертва открывала документ, на ее систему устанавливались вредоносные программы.
По словам Microsoft, хакеры использовали вредоносное ПО на зараженных компьютерах для установки одного из 18 приложений Azure AD. Роль этих приложений заключалась в автоматической настройке конечной точки жертвы «с разрешениями, необходимыми для хищения и отправки данных в подконтрольное злоумышленникам хранилище Microsoft OneDrive.
Помимо удаления вредоносных приложений, Microsoft также работала над удалением учетной записи GitHub, которую та же группа Gadolinium использовала в рамках своих атак в 2018 году. Данные действия помешают преступникам повторно использовать ту же учетную запись для других потенциальных атак в будущем.
