A Microsoft emitiu um alerta sobre as atividades ampliadas do grupo de hackers patrocinado pelo estado russo, conhecido como APT29. Este grupo é conhecido por atacar principalmente governos, entidades diplomáticas, organizações não governamentais (ONGs) e provedores de serviços de TI, principalmente nos EUA e na Europa.

O objetivo principal dessas missões de espionagem é coletar informações sensíveis de interesse estratégico para a Rússia, mantendo acesso prolongado aos sistemas alvo sem chamar atenção. A Microsoft começou a notificar outras organizações que podem ter sido alvo desses ataques.

As operações do APT29 envolvem o uso de contas legítimas, mas comprometidas, para ganhar e expandir o acesso dentro de um ambiente alvo e permanecer despercebido. Eles também são conhecidos por identificar e abusar de aplicativos OAuth para se mover lateralmente através de infraestruturas em nuvem e para atividades pós-comprometimento, como coleta de e-mails.

A Microsoft observou que o APT29 utiliza diversos métodos de acesso inicial, que vão desde credenciais roubadas a ataques à cadeia de suprimentos, exploração de ambientes locais para movimentação lateral para a nuvem e exploração da cadeia de confiança de provedores de serviços para acessar clientes downstream.

Uma tática notável envolve o uso de contas de usuário violadas para criar, modificar e conceder altas permissões a aplicativos OAuth, que podem ser usados para ocultar atividades maliciosas. Isso permite que os atores de ameaças mantenham o acesso a aplicativos, mesmo que percam o acesso à conta inicialmente comprometida.