Osiemnaście aplikacji Microsotu Azure zostało usuniętych przez Microsoft po tym, gdy wyszło na jaw, że wykorzystywane są przez grupę Gadolinium (APT40) do ataków na klientów Azure. A za grupą stoją władze Chin.
Z portalu Azure usunięto 18 aplikacji Azure Active Directory, co doradzała centrala Microsoft Threat Intelligence Center (MSTIC). A doradzała, ponieważ wykryto, że chińska grupa hakerów Gadolinium (znana także jako APT40 lub Leviathan) wykorzystywała je do przeprowadzania ataków na innych użytkowników. Zaczynały się one od e-mailowych ataków phishingowych, wymierzonych w wybrane organizacje. Feralny załącznik udawał prezentacje PowerPointa na tematy związane z pandemią Covid-19. Jeśli ktoś go otworzył, wówczas uderzało malware, korzystające z PowerShell. Dzięki temu instalowało na maszynie ofiary złośliwe aplikacje Azure Active Diretory, których zadaniem było automatyczne skonfigurowanie punktu końcowego, który umożliwiał eksfiltrowanie danych z dysku OneDrive należącego do atakujących,
Usunięcie osiemnastu aplikacji pokrzyżuje chińskim hakerom plany, ale oczywiście nie wyeliminuje zagrożenia z ich strony. Będą po prostu musieli znaleźć inny sposób na szkodzenie. Gadolinium opłacana jest przez chińskie władze. Nie po raz pierwszy jest o niej głośno - w przeszłości już kilkanaście razy Microsoft usuwał całe infrastruktury malware, które stworzyła i z których korzystała grupa. Chiny nie są jedynym krajem, który opłaca hakerów - Rosja, Korea Północna oraz Iran także ma swoje wyspecjalizowane grupy.
Zobacz: Drovorub - rosyjski malware ukierunkowany na Linuxa, Stoi za nim GRU.
Źródło zdjęć: Andri/Pexels
Źródło tekstu: ZDnet
