本文由奧義智慧 (CyCraft) 與資安卓越中心規劃建置計畫 (CCoE) 共同發布。
與俄羅斯情報機關有密切關聯的 APT29 組織,在世界情勢益發動蕩的當下,也正不斷精進攻擊手段。APT29 組織此次利用 Azure 服務發起的攻擊,不只著重於建立地端後門,更開始利用雲端服務的內建權限來躲避監控,甚至透過購置雲端平台的服務來規避 IP 偵測,可見地端與雲端的安全已密不可分。此組織的高度政治化特性,也反映在它特別強調長期潛伏、並持續竊取資訊上,高科技企業、政府組織等都需要格外注意此駭客組織的攻擊手法。
本篇分析的 APT29 組織鎖定 Microsoft 365 使用者為主要攻擊目標,除了因為微軟在企業雲端服務上的市佔率較高,也顯示當越來越多企業或組織使用雲端服務,攻擊者的對象與手法也逐漸聚焦於此。雖然本篇以 Azure 服務為例,但各家平台(如:AWS、GCP 等)都可能成為類似攻擊的目標。除此之外,即便 Azure 等雲端服務多有內建多重身份驗證、稽核機制等安全措施,攻擊者仍能利用此類機制的運作邏輯,反向進行入侵、潛伏與控制。因此在配置了相關防禦之後,仍需確切落實,方可獲得實質效果。
自 2008 年成立以來,俄羅斯駭客組織 APT29(又稱 Cozy Bear、UNC2452、NOBELIUM 等)主要都以政府組織為攻擊目標、行動皆帶有政治目的,據信是由俄羅斯聯邦對外情報局 (Foreign Intelligence Service of the Russian Federation,簡稱 SVR) 與該國多個情報機構所把持。今 (2022) 年,許多資安廠商(如:Mandiant、Microsoft 等)都發現 APT29 變得更加活躍,它針對北約組織盟國發起了數次攻擊、企圖取得外交機敏資訊。在攻擊目標遍及各國之外,APT29 的攻擊手法也持續更新,Mandiant 便於近期公佈 APT29 專門攻擊雲端服務的證據,例如:攻擊 AD FS 主機的 MagicWeb 惡意程式,以及本文聚焦分析的利用 Azure 服務攻擊 Microsoft 365 使用者。
Microsoft 365 是一套企業普遍使用的雲端生產力工具,提供跨組織協作、資料存取、商務 email 往來、編輯工具等服務;在身份驗證上則採多道授權與認證方式,據此 APT29 對 Microsoft 365 的攻擊也包含了三個步驟:入侵接管、持續潛伏,躲避監控。
1. 接管休眠帳號:
Microsoft 365 多重的身份驗證程序中,使用了多重要素驗證機制 (Multi-Factor Authentication,簡稱 MFA),此機制在企業內部所有帳號第一次登入時,只要是新帳號、尚未註冊任何 MFA 的裝置,便會進入到引導模式、要求使用者進行 MFA 裝置的註冊。將帳號登入與 MFA 註冊相連動,反而會讓未啟用 MFA 的使用者帳號成為駭客組織獲得起始存取的管道。APT29 就是藉由此運作邏輯,暴力破解目標組織中可登入但尚未註冊 MFA 的帳密,在代替此帳號使用者註冊 MFA 裝置後,攻擊者便能透過此帳號侵入組織內部的軟硬體設施。
此攻擊手法與美國網路安全暨基礎設施安全局 (Cybersecurity and Infrastructure Security Agency,簡稱 CISA) 之前公布的 Alert (AA22–074A) 報告中利用 PrintNightmare (CVE-2021–34527) 漏洞、繞過 MFA 驗證並在機構中橫向移動的方式相似。另外,在實務上企業帳號多半會使 MFA 機制與內部帳號管理系統(如:Active Directory、LDAP 等)進行同步,因此常常存在休眠中但仍然可以使用的帳號。
2. 持續潛伏獲取 email 內容並提高權限:
在接管休眠帳號、順利入侵企業內部後,APT29 繼續利用 Microsoft Exchange 的角色指派 (Impersonation) 功能提高權限,為下一階段的攻擊做準備。此角色指派功能可讓應用程式或指定帳號模擬組織中的其他使用者、存取 email 內容或代理其他使用者執行工作,無論是地端或是雲端 Exchange 都有此功能。要完成此攻擊,前提是攻擊者需要先取得 Exchange 管理員 (Administrator) 此角色才能擁有執行管理角色指派 (ApplicationImpersonation) 的權限。
Exchange 理員權限還包括組織管理、Enterprise 系統管理員此類預設的高權限,攻擊者通常會把此管理員角色權限與其他攻擊目的所需權限組合後、取個容易混淆的名稱,避免管理人員發現異常;下圖即是透過 PowerShell 建立一個擁有讀取所有人信箱的角色權限。
3. 停用或躲避監控機制:
為了避免攻擊足跡被偵查,APT29 除了可變更使用者 agent 一類的前端資訊來規避監控,也能透過前一階段的入侵與提取權限,停用 Microsoft 365 內建稽核機制,並創建可持續回來竊取資訊的後門。Microsoft 365 的內建稽核機制(如:Purview Audit)會記錄使用者從不同應用程式登入 email 時的各種log,包含:使用者 agent、時間標記 (timestamp)、使用者名稱等資訊。然而當攻擊者獲得足夠權限後,便會透過 Azure AD PowerShell 修改對受害者帳號的設定、停用其 Microsoft 365 進階稽核事件 (Microsoft 365 Advanced Audit),如此便可停用受害者的 email 內容存取稽核事件,使受害組織無法盤點出何時開始受駭、也就無法第一時間止損。
即使攻擊者無法獲得足夠權限關閉稽核機制,他們也可以透過受害者帳號購買 Azure 虛擬機器 (Virtual Machine) 服務來避免攻擊軌跡被追蹤。由於 Microsoft 365 本身也依靠 Azure 運作,在乘載了許多 Microsoft IP 的狀況下,單純想從 IP 判斷是否為惡意變得困難,也連帶使得稽核機制對異常的偵測更加不易。
如 Azure 的商務雲端服務雖然有其內建的安全機制,但面對駭客組織的有心利用,我們建議組織使用者應落實以下措施,以減緩或杜絕駭侵的機率與損害: