Los actores de amenazas rusos APT29 están cambiando sus técnicas y ampliando sus objetivos para acceder a entornos de nube, advirtieron miembros de la alianza de inteligencia Five Eyes.
Acerca de APT29
APT29 (también conocido como Midnight Blizzard, también conocido como Cozy Bear) es un grupo de ciberespionaje que se cree que forma parte del Servicio de Inteligencia Exterior de Rusia (SVR), conocido por violar varias agencias gubernamentales de EE. UU. después del compromiso de la cadena de suministro del software SolarWinds .
Microsoft fue víctima de la misma infracción y, más recientemente, los mismos actores de amenazas piratearon sus buzones de correo corporativos, robando correos electrónicos y documentos adjuntos.
APT29 es conocido por apuntar a gobiernos, grupos de expertos, organizaciones de atención médica y el sector energético, pero ahora ha ampliado sus objetivos para incluir la aviación, la educación, las fuerzas del orden, los consejos locales y estatales, los departamentos financieros gubernamentales y las organizaciones militares.
APT29 está aprovechando nuevas técnicas
En un aviso conjunto, las agencias Five Eyes advirtieron que el grupo también ha adaptado sus tácticas, técnicas y procedimientos (TTP).
En lugar de explotar las vulnerabilidades del software para obtener acceso inicial, los actores de amenazas ahora utilizan la fuerza bruta y la pulverización de contraseñas para acceder a cuentas de servicio y cuentas pertenecientes a ex empleados de organizaciones víctimas.
“No hay ningún usuario humano detrás de ellas, por lo que no pueden protegerse fácilmente con autenticación multifactor (MFA), lo que hace que estas cuentas sean más susceptibles a un compromiso exitoso. Las cuentas de servicio a menudo también tienen muchos privilegios según las aplicaciones y servicios que son responsables de administrar. Obtener acceso a estas cuentas proporciona a los actores de amenazas un acceso inicial privilegiado a una red para lanzar más operaciones”, señaló CISA.
APT29 también ha estado utilizando tokens robados, en lugar de contraseñas, para acceder a las cuentas de las víctimas, y logró eludir la autenticación multifactor (MFA) participando en bombardeos de MFA y aprovechando la consiguiente fatiga de MFA.
“Una vez que un actor ha pasado por alto estos sistemas para obtener acceso al entorno de la nube, se ha observado que los actores SVR registran su propio dispositivo como un nuevo dispositivo en el inquilino de la nube. Si no se configuran reglas de validación de dispositivos, los actores SVR pueden registrar con éxito su propio dispositivo y obtener acceso a la red”, advirtió CISA.
Por último, para ocultar su actividad en la red y el verdadero origen del tráfico de la red, los actores de amenazas utilizaron servidores proxy residenciales.
«Una vez que el SVR obtiene acceso inicial, el actor es capaz de implementar capacidades posteriores al compromiso altamente sofisticadas, como MagicWeb «, concluyó la agencia .
Protegiendo la nube
Las agencias han descrito varias mejores prácticas para ayudar a defender a las organizaciones de estos actores de amenazas:
- Habilitar la autenticación multifactor (MFA)
- Utilice contraseñas seguras y únicas, especialmente para cuentas que no pueden utilizar la verificación en dos pasos (2SV)
- Implementar el principio de privilegio mínimo para cuentas de sistema y de servicio.
- Cree cuentas de servicio canary para una detección de compromisos más rápida
- Ajustar el tiempo de validez de los tokens emitidos por el sistema.
- Permitir la inscripción de dispositivos solo para dispositivos autorizados
- Utilizar diversas fuentes de información para prevenir, detectar e investigar comportamientos inusuales.
Fuente y redacción: Helga Labus / helpnetsecurity.com
