微软将中国支持的黑客使用的应用程序引导出Azure

财富500强公司并不是唯一一家蜂拥使用像Microsoft Azure这样的云服务的公司。越来越多地，代表中国政府工作的黑客也在云中托管他们的工具，这让雷德蒙德的人们忙得不可开交。

今年早些时候，微软威胁情报中心(Microsoft Threat Intelligence Center)的成员在确定18个Azure Active Directory应用程序是庞大的指挥控制网络的一部分后，暂停了这些应用程序。除了云托管的应用程序外，黑客组织Microsoft Call Gdordium的成员还将非法获得的数据存储在Microsoft OneDrive账户中，并使用该账户执行活动的各个部分。

微软、亚马逊和其他云提供商长期以来一直吹捧按需租用计算资源而不是使用内部专用服务器所带来的速度、灵活性和规模。黑客似乎也意识到了同样的好处。由于免费的试用服务和一次性支付账户，向云的转移可能特别容易，这些账户允许黑客快速启动和运行，而无需建立已建立的关系，甚至无需备案有效的支付卡。

与此同时，钆已经接受了在有组织的黑客圈子中发现的另一种趋势-远离自定义恶意软件，并增加了对开源工具(如PowerShell)的使用。因为这些工具被如此广泛地用于良性和合法的任务，所以它们的恶意使用更难被检测到。与其依赖定制软件来控制受感染的设备，钆最近已经开始使用开源PowerShell帝国后利用框架的修改版本。

在周四发布的一篇帖子中，微软威胁情报中心成员本·科尔(Ben Koehl)和乔·汉农(Joe Hannon)写道：

从历史上看，钆使用的是分析人员可以识别和防御的定制恶意软件家族。作为回应，钆在过去一年里已经开始修改其工具链的一部分，以使用开源工具包来混淆它们的活动，并使分析师更难追踪。由于云服务经常提供免费试用或一次性支付(PayGo)账户产品，恶意行为者已经找到了利用这些合法业务产品的方法。通过建立免费或PayGo帐户，他们可以使用基于云的技术来创建恶意基础设施，该基础设施可以快速建立，然后在检测到之前关闭或以很小的成本放弃。

Gandoldium的PowerShell帝国工具包可以让攻击组织使用微软编程接口无缝加载新模块。它还允许攻击者控制的OneDrive帐户执行命令并接收攻击者和受害者系统之间发送的结果。

研究人员写道：“使用PowerShell帝国模块对传统的SOC监控进行识别尤其具有挑战性。”这里指的是安全团队监控客户网络是否存在网络攻击迹象的系统运营中心。“攻击者使用Azure Active Directory应用程序将受害终结点配置为具有将数据渗透到攻击者自己的Microsoft OneDrive存储所需的权限。”

但是，虽然云向攻击者提供了攻击者的好处，但这些好处是双向的。由于攻击是使用包含恶意附件的鱼叉式网络钓鱼电子邮件进行的，因此Microsoft Defender会检测、阻止和记录这些攻击。最终，它们被链接回Azure托管的基础设施。

周四的帖子继续写道：“在检测到这些攻击后，微软采取了主动措施，阻止攻击者使用我们的云基础设施来执行他们的攻击，并暂停了18个Azure Active Directory应用程序，我们确定这些应用程序是他们恶意指挥与控制基础设施的一部分。”这一行动有助于透明地保护我们的客户，而不需要对他们进行额外的工作。“。

微软表示，它还删除了2018年类似攻击中使用的GitHub账户钆。

微软现在正在发布已知的钆使用过的数字签名和个人资料名称。个人和组织可以使用它们来判断他们或客户是否是该组织任何黑客攻击的受害者或预期受害者。

“钆无疑将在追求其目标的过程中演变[其]战术，”该帖子总结道。随着这些威胁针对微软客户，我们将继续建立检测并实施保护措施来防御它们。“