俄罗斯黑客组织APT29的新战术

关键要点

• 俄罗斯赞助的黑客组织APT29（又名 Cozy Bear 和 Nobelium）正通过新战术进行网络间谍活动。
• 其主要目标是入侵 Microsoft 365 账户，并通过禁用 Purview Audit 功能来隐蔽其操作。
• APT29 还利用 Azure Active Directory 自助注册过程加大对账户的攻击力度。

俄罗斯赞助的黑客组织 ，也被称为
Cozy Bear 和 Nobelium，正在借助新战术、技巧和程序来进行网络间谍活动，主要目标是攻陷 Microsoft 365 账户。根据

的报道，Mandiant 研究人员发现APT29正在努力禁用 Microsoft 365 用户在 E5 许可证下可用的 Purview Audit功能，以防止对被攻陷账户的审计工作。

“[Purview Audit] 是一个关键的日志源，可以确定威胁行为者是否正在访问特定邮箱，并识别暴露的范围。当威胁行为者使用应用程序冒充或
Graph API 等技术时，唯一有效的方式就是确定对特定邮箱的访问。” Mandiant 表示。

另外，APT29 还在利用 Azure Active Directory的多因素认证自助注册过程。这使得对未在域中登录的账户用户名和密码进行暴力破解攻击成为可能。报告还显示，APT29 使用被攻陷账户来掩盖其操作。

攻击策略 | 影响
—|—
禁用 Purview Audit 功能 | 阻止对被攻陷账户的有效审计
利用 Azure AD 自助注册过程 | 加强对账户的暴力攻击
隐蔽操作利用被攻陷的账户 | 掩盖攻击活动的痕迹

APT29 的这些战术展示了当前网络威胁的复杂性，警示企业和个人在网络安全防护方面需采取更为严谨的措施。了解和应对这样的情况是至关重要的。