Сложная кибератака на корпоративную среду Microsoft компании Stryker, ведущего производителя медицинских технологий, успешно привела к удалению данных с устройств сотрудников без развертывания какого-либо традиционного вредоносного ПО. Согласно подробному отчету Группы анализа угроз (TAG) Google, злоумышленники организовали сложное вторжение, используя украденные учетные данные и легитимные административные инструменты для выполнения разрушительных действий. Этот инцидент подчеркивает растущую тенденцию, когда злоумышленники отказываются от вредоносного программного обеспечения в пользу методов «living-off-the-land», используя доверенные системы организации против нее самой, чтобы избежать обнаружения.
Цепочка атаки началась с компрометации учетных данных корпоративного пользователя, вероятно, полученных через фишинг или другой вид брокерского доступа. Противники использовали эти данные для аутентификации в среде Microsoft Entra ID (ранее Azure AD) компании Stryker. Попав внутрь, они провели масштабную разведку, перечислив учетные записи пользователей, группы и устройства. Затем злоумышленники повысили свои привилегии, добавив скомпрометированную учетную запись в высокопривилегированные административные роли, а именно в роли «Глобальный администратор» и «Администратор Intune» в рамках Microsoft Intune, облачного сервиса управления конечными точками.
Обладая полным административным контролем над Microsoft Intune, злоумышленники выполнили разрушительную фазу операции. Они злоупотребили легитимной функцией «Удаленная помощь» и другими возможностями Intune, чтобы передать серию вредоносных конфигураций зарегистрированным корпоративным устройствам, в основном ноутбукам Windows. Эти конфигурации включали политику «Ограничение устройства», которая отключала критически важные функции безопасности, такие как Microsoft Defender, и скрипт, принудительно выполняющий сброс к заводским настройкам, безвозвратно стирающий основной диск устройства. Поскольку эти действия выполнялись через официальные, доверенные административные каналы и инструменты, они обошли традиционные антивирусные решения и системы обнаружения конечных точек, которые ищут вредоносное ПО на основе сигнатур.
Атака highlights критические пробелы в безопасности современных облачно-ориентированных ИТ-сред. Чрезмерное предоставление административных привилегий, отсутствие надежного применения многофакторной аутентификации (MFA) и недостаточный мониторинг использования административных инструментов создали идеальный шторм. Командам безопасности необходимо сместить фокус с простой охоты на вредоносное ПО на мониторинг аномального использования легитимных административных функций. Ключевые меры смягчения включают принудительное использование устойчивой к фишингу MFA для всех привилегированных учетных записей, внедрение строгих политик условного доступа, регулярный аудит назначения ролей и применение расширенного обнаружения необычной административной активности в таких инструментах, как Intune и Entra ID.
Этот инцидент служит суровым предупреждением для организаций по всему миру. Слияние скомпрометированных удостоверений и огромной мощности консолей облачного администрирования представляет собой серьезный риск. Защитники должны исходить из того, что злоумышленники уже находятся внутри их периметра, и сосредоточиться на укреплении систем идентификации, сегментации административного доступа и обеспечении того, чтобы возможность выполнять разрушительные действия, такие как удаленная очистка, строго контролировалась и аудировалась. Грань между легитимным инструментом и оружием стерлась, что требует фундаментального переосмысления подходов к кибербезопасности в эпоху облачных атак, ориентированных на идентификацию.
