Использование легитимного инструмента Microsoft AzCopy в атаках с целью кражи данных

В современной кибербезопасности наблюдается тревожная тенденция: злоумышленники всё чаще применяют официальные и широко используемые в IT-среде инструменты для реализации своих атак. Одним из таких примеров стал AzCopy — командная утилита Microsoft, предназначенная для удобной передачи данных в облачное хранилище Azure и обратно. Недавно она была замечена в рамках активных кампаний программ-вымогателей, где использовалась для кражи данных.

AzCopy — это легитимный и широко применяемый инструмент, который IT-специалисты используют для управления большими объёмами информации в Azure Storage. Однако злоумышленники нашли способ использовать его функционал в своих целях, что значительно усложняет обнаружение и блокировку таких атак. Вместо того чтобы применять подозрительные или вредоносные программы, хакеры маскируют свои действия под обычные операции по передаче данных, что снижает вероятность срабатывания систем обнаружения угроз.

В ходе расследования выявлено, что злоумышленники запускают AzCopy для экспорта конфиденциальной информации из корпоративных сетей в собственные облачные хранилища на базе Azure. Такой подход позволяет им эффективно скрывать следы компрометации и усложняет анализ инцидентов. Использование официального инструмента снижает подозрительность трафика и помогает обходить традиционные средства защиты, ориентированные на выявление нестандартных или вредоносных программ.

Для организаций, управляющих внешней поверхностью атаки, это представляет серьёзную проблему. Внедрение легитимных утилит в цепочку атаки требует пересмотра подходов к мониторингу и анализу поведения пользователей и процессов. Классические методы обнаружения вредоносного ПО уже не всегда эффективны, поскольку инструменты вроде AzCopy не вызывают подозрений и не блокируются стандартными антивирусами.

Чтобы минимизировать риски, связанные с подобными атаками, командам информационной безопасности рекомендуется:

• Внедрить поведенческий анализ активности утилит и процессов, особенно тех, что имеют доступ к критичным данным и облачным сервисам.
• Настроить детальный мониторинг и аудит использования AzCopy и аналогичных инструментов, включая анализ командной строки и направлений передачи данных.
• Ограничить права доступа к Azure Storage и другим облачным ресурсам, предоставляя их только необходимым сервисам и пользователям.
• Использовать системы обнаружения аномалий, способные выявлять необычные паттерны передачи данных, даже если они осуществляются легитимными утилитами.
• Обучать сотрудников и команды безопасности новым методам атак, чтобы повысить осведомлённость о рисках использования официальных инструментов злоумышленниками.

Атаки с использованием легитимных утилит, таких как AzCopy, демонстрируют, что современные угрозы становятся всё более изощрёнными и требуют от организаций адаптации своих стратегий защиты. Только комплексный подход к мониторингу и управлению внешней поверхностью атаки позволит своевременно выявлять подобные инциденты и минимизировать ущерб.