El grupo de amenazas ruso conocido por los investigadores con varios nombres, incluidos APT29, Midnight Blizzard, Dukes o Cozy Bear, está ampliando sus objetivos a servicios basados en la nube, advierten las naciones de los Cinco Ojos que comparten inteligencia.
En un informe publicado el lunes, los socios, incluidos EE. UU., Reino Unido, Canadá, Australia y Nueva Zelanda, dijeron que APT29 está ampliando su objetivo para incluir aviación, educación, aplicación de la ley, consejos locales y estatales, departamentos financieros gubernamentales y organizaciones militares. . Y va tras los servicios en la nube que tienen estas organizaciones.
“A medida que las organizaciones continúan modernizando sus sistemas y migrando a una infraestructura basada en la nube, el SVR se ha adaptado a estos cambios en el entorno operativo”, explica el informe.
Hasta hace poco, este grupo se centraba principalmente en objetivos gubernamentales, de grupos de expertos, de atención sanitaria y energéticos para obtener inteligencia.
Pero posiblemente es mas conocido por comprometer el mecanismo de actualización de software de la suite de administración de red Orion de SolarWinds en 2019 para difundir malware.
APT29 es un grupo de ciberespionaje, “casi con certeza parte del SVR, un elemento de los servicios de inteligencia rusos”, dice el informe.
En campañas anteriores de SVR, los actores utilizaron con éxito la fuerza bruta y la pulverización de contraseñas para acceder a cuentas de servicio que ejecutan y administran aplicaciones y servicios, según el informe.
Al atacar servicios en la nube, se ha visto a los actores de SVR utilizando tokens emitidos por el sistema para acceder a las cuentas de sus víctimas, sin necesidad de una contraseña.
El SVR evita con éxito la autenticación de contraseñas en cuentas personales mediante la pulverización de contraseñas y la reutilización de credenciales. Los actores de SVR también han evitado MFA a través de una técnica conocida como “bombardeo de MFA” o “fatiga de MFA”, en la que los actores envían repetidamente solicitudes de MFA al dispositivo de la víctima hasta que la víctima acepta la notificación, dice el informe.
Una vez que un actor ha pasado por alto estos sistemas para obtener acceso al entorno de la nube, se ha observado que los actores SVR registran sus propios dispositivos como nuevos dispositivos en el inquilino de la nube. Si no se configuran reglas de validación de dispositivos, los actores de SVR pueden registrar con éxito sus propios dispositivos y obtener acceso a la red.
Otra táctica de SVR es el uso de servidores proxy residenciales, que hacen que el tráfico parezca originarse en direcciones IP dentro de los rangos de proveedores de servicios de Internet (ISP) utilizados para clientes residenciales de banda ancha y ocultan la verdadera fuente. Esto puede hacer que sea más difícil distinguir las conexiones maliciosas de los usuarios típicos, según el informe.
Según el informe, una base sólida de los fundamentos de la seguridad cibernética puede ayudar a defenderse de dichos actores. Para las organizaciones que se han trasladado a la infraestructura de la nube, una primera línea de defensa contra un actor como SVR debería ser reducir las probabilidades de un compromiso inicial de la red.
2024-02-27 18:10:03
#actor #amenazas #ruso #amplía #lista #objetivos #advierte #informe #Eyes,