Desde agosto de 2023, Microsoft ha observado una actividad de intrusión dirigida y que roba con éxito las credenciales de varios clientes de Microsoft, que se habilita mediante ataques de password spray (rociado de contraseñas) altamente evasivos.
Microsoft ha vinculado la fuente de estos ataques a una red de dispositivos comprometidos que rastrearon como CovertNetwork-1658, también conocida como xlogin y Quad7 (7777). Microsoft evalúa que las credenciales adquiridas a partir de las operaciones de rociado son utilizadas por varios actores de amenazas chinos.
En particular, el actor de amenazas chino Storm-0940 usa credenciales de CovertNetwork-1658. Activo desde al menos 2021, Storm-0940 obtiene acceso inicial a través de rociado de contraseñas y ataques de fuerza bruta, o explotando o haciendo un mal uso de las aplicaciones y servicios de borde de la red. Se sabe que Storm-0940 ataca a organizaciones en América del Norte y Europa, incluidos centros de estudios, organizaciones gubernamentales y no gubernamentales, bufetes de abogados, bases industriales de defensa y otros.
Al igual que con cualquier actividad de un actor de amenaza de un estado nacional observada, Microsoft ha notificado directamente a los clientes afectados o comprometidos, proporcionándoles información importante necesaria para ayudar a proteger sus entornos.
¿Qué es CovertNetwork-1658?
La empresa rastrea una red de enrutadores de pequeñas empresas comprometidos como CovertNetwork-1658. Los routers fabricados por TP-Link conforman la mayor parte de esta red. Microsoft utiliza «CovertNetwork» para referirse a una colección de direcciones IP de salida que consisten en dispositivos comprometidos o alquilados que pueden ser utilizados por uno o más actores de amenazas.
CovertNetwork-1658 se refiere específicamente a una colección de direcciones IP de salida que pueden ser utilizadas por uno o más actores de amenazas chinos y está compuesta en su totalidad por dispositivos comprometidos. Microsoft evalúa que un actor de amenazas ubicado en China estableció y mantiene esta red y explota una vulnerabilidad en los enrutadores para obtener la capacidad de ejecución remota de código. Luego, varios actores de amenazas chinos utilizan las credenciales adquiridas para realizar actividades de explotación de redes informáticas.
Actividad posterior al ataque en routers comprometidos
Después de obtener acceso con éxito a un router vulnerable, en algunos casos, el actor de amenazas sigue los siguientes pasos para preparar el equipo para operaciones de rociado de contraseñas:
- Descargar el binario Telnet desde un servidor FTP remoto.
- Descargar el binario xlogin backdoor desde un servidor FTP remoto
- Utilizar los binarios Telnet y xlogin descargados para iniciar una shell de comandos con control de acceso en el puerto TCP 7777.
- Conectarse y autenticarse en el backdoor xlogin que escucha en el puerto TCP 7777.
- Descargar un binario de servidor SOCKS5 al enrutador.
- Iniciar el servidor SOCKS5 en el puerto TCP 11288
Se observa que CovertNetwork-1658 lleva a cabo sus campañas de rociado de contraseñas a través de esta red proxy para garantizar que los intentos se originen en los dispositivos comprometidos.
Actividad de rociado de contraseñas desde la infraestructura de CovertNetwork-1658
Microsoft ha observado múltiples campañas de rociado de contraseñas que se originan en la infraestructura de CovertNetwork-1658. En estas campañas, CovertNetwork-1658 envía una cantidad muy pequeña de intentos de inicio de sesión a muchas cuentas en una organización de destino. En aproximadamente el 80 por ciento de los casos, CovertNetwork-1658 solo realiza un intento de inicio de sesión por cuenta por día.
La infraestructura de CovertNetwork-1658 es difícil de monitorear debido a las siguientes características:
- El uso de direcciones IP SOHO comprometidas
- El uso de un conjunto rotativo de direcciones IP en un momento dado. Los actores de amenazas tenían miles de direcciones IP disponibles a su disposición. El tiempo de actividad promedio de un nodo CovertNetwork-1658 es de aproximadamente 90 días.
- El proceso de rociado de contraseñas de bajo volumen; por ejemplo, el monitoreo de múltiples intentos fallidos de inicio de sesión desde una dirección IP o una cuenta no detectará esta actividad
- Varios proveedores de seguridad han informado sobre las actividades de CovertNetwork-1658, incluidos Sekoia (julio de 2024) y Team Cymru (agosto de 2024).
Históricamente, Microsoft ha observado un promedio de 8.000 dispositivos comprometidos que participan activamente en la red CovertNetwork-1658 en un momento dado. En promedio, alrededor del 20 por ciento de estos dispositivos realizan rociado de contraseñas. Cualquier actor de amenazas que utilice la infraestructura CovertNetwork-1658 podría realizar campañas de spray a mayor escala y aumentar en gran medida la probabilidad de compromiso exitoso de credenciales y acceso inicial a múltiples organizaciones en un corto período de tiempo.
Actividad observada vinculada a Storm-0940
Se han observado numerosos casos en los que Storm-0940 ha obtenido acceso inicial a organizaciones objetivo utilizando credenciales válidas obtenidas a través de las operaciones de rociado de contraseñas de CovertNetwork-1658.
Después de obtener acceso con éxito a un entorno víctima, en algunos casos, se ha observado que Storm-0940:
- Utiliza herramientas de escaneo y volcado de credenciales para moverse lateralmente dentro de la red;
- Intenta acceder a dispositivos de red e instalar herramientas proxy y troyanos de acceso remoto (RAT) para la persistencia;
- Intenta exfiltrar datos.
Recomendaciones
Las organizaciones pueden defenderse contra la difusión de contraseñas mediante la creación de una higiene de credenciales y el fortalecimiento de las identidades en la nube. Microsoft recomienda las siguientes mitigaciones para reducir el impacto de esta amenaza:
- Eduque a los usuarios sobre la importancia de la higiene de credenciales y evite la reutilización de contraseñas.
- Aplique la autenticación multifactor (MFA) en todas las cuentas; elimine a los usuarios excluidos de MFA y exija estrictamente MFA en todos los dispositivos, en todas las ubicaciones y en todo momento.
- Considere la posibilidad de realizar la transición a un método de autenticación principal sin contraseña, como Azure MFA, certificados o Windows Hello para empresas.
- Asegure los puntos de conexión del Protocolo de escritorio remoto (RDP) o de Windows Virtual Desktop con MFA para protegerse contra la difusión de contraseñas o los ataques de fuerza bruta.
- Habilite los métodos de autenticación sin contraseña (por ejemplo, Windows Hello, FIDO o Microsoft Authenticator) para las cuentas que admitan la autenticación sin contraseña. Para las cuentas que aún requieren contraseñas, use aplicaciones de autenticación como Microsoft Authenticator para MFA.
- Deshabilite la autenticación heredada.
- Utilice una solución de seguridad de identidad basada en la nube para identificar y detectar amenazas o identidades comprometidas.
- Desactive las cuentas obsoletas o sin uso.
- Restablezca las contraseñas de las cuentas que hayan sido blanco de un ataque de rociado de contraseñas. Si una cuenta objetivo tenía permisos a nivel de sistema, es posible que se justifique una investigación más exhaustiva.
- Implemente Azure Security Benchmark y las prácticas recomendadas generales para proteger la infraestructura de identidad, incluidas las siguientes:
- Cree políticas de acceso condicional para permitir o denegar el acceso al entorno según criterios definidos.
- Bloquee la autenticación heredada con Azure AD mediante el acceso condicional. Los protocolos de autenticación heredados no tienen la capacidad de aplicar MFA, por lo que bloquear dichos métodos de autenticación evitará que los atacantes que roban contraseñas aprovechen la falta de MFA en esos protocolos.
- Habilite el bloqueo de la extranet del proxy de aplicación web de AD FS para proteger a los usuarios de posibles ataques de fuerza bruta contra contraseñas.
- Proteja las cuentas con higiene de credenciales:
- Ponga en práctica el principio de privilegio mínimo y audite la actividad de las cuentas privilegiadas en sus entornos de Azure AD para ralentizar y detener a los atacantes.
- Implemente Azure AD Connect Health para ADFS. Esto captura los intentos fallidos, así como las direcciones IP registradas en los registros de ADFS para las solicitudes incorrectas a través del informe de IP riesgosas.
- Use la protección de contraseñas de Azure AD para detectar y bloquear las contraseñas débiles conocidas y sus variantes.
- Active la protección de identidad en Azure AD para supervisar los riesgos basados en la identidad y crear políticas para los inicios de sesión riesgosos.
- Educa a los usuarios sobre los intentos de phishing y los ataques de fatiga de MFA. Anima a los usuarios a denunciar solicitudes de autenticación de MFA no solicitadas.
- Revisa tus políticas de detección de anomalías en Defender for Cloud Apps en Políticas de Microsoft 365 Defender.
Fuente y redacción: segu-info.com.ar/Microsoft