Säkerhetsföretaget Mandiant uppmärksammar att hackargruppen APT29, som misstänks vara sponsrad av ryska staten, ska tagit fram nya avancerade tekniker för att angripa Microsoft 365.

Mandiant ska dels ha lyckats stänga av Purview Audit för sina offer som används för att föra logg över användares strängar, tidsstämplar och IP-adresser när de använder sin mejl. Är den avstängd innebär det att hackarna fritt kan göra lite vad de vill utan att det märks eller att en organisation ens kan se hur stort intrånget faktiskt är.

Det andra är att hackarna lyckats komma runt Microsofts flerfaktorsautentisering. Detta genom att först komma åt oanvända användarkonton på olika sätt, varpå Azure AD uppmanar dessa att börja använda flerfaktorsautentisering. Hackarna använder sedan kontot för att komma åt organisationens VPN-infrastruktur som använder Azure AD för autentisering och flerfaktorsautentisering.

APT29 ska enligt Mandiant också ha blivit bättre på att undvika upptäckt genom att utnyttja virtuella maskiner i Azure som istället existerar utanför organisationen som de angriper. Om de virtuella maskinerna är stulna eller köpta är okänt.

Enligt Mandiant ska APT29 främst ge sig på organisationer i Nato-länder och länder som har samarbeten med Nato.

Läs också: Svenska företag har dålig koll på hoten – drygt 80 procent ser sig som sårbar