APT29 вошли в Microsoft через password spraying тестового tenant без MFA. Два месяца читали почту руководства через OAuth-приложение с full_access_as_app к Exchange Online. EDR не выдал ни одного алерта: вся цепочка прошла в identity-плоскости, минуя эндпоинты. 75% вторжений — через valid...Identity-based атаки APT 2026: как группировки уходят от эндпоинтов в облако и почту — Red Team и Detection гайд
Источник: codeby.net