El grupo implicado en el caso SolarWinds realiza nuevos ataques
Grupo implicado en el caso SolarWinds

El grupo implicado en el caso SolarWinds realiza nuevos ataques a la cadena de suministro

El grupo Nobelium, un grupo implicado en el caso SolarWinds, está reproduciendo tácticas de anteriores ataques a la cadena de suministro -ataques a la cadena de suministro- con nuevos enfoques. Este tipo de ataques se vienen produciendo en Estados Unidos y Europa desde mayo de 2021. Entre el 1 de julio y el 19 de octubre de este año, Microsoft informó a 609 clientes de que habían sido atacados 22.868 veces por Nobelium, y en comparación, antes del 1 de julio de 2021, Microsoft informó a los clientes de ataques de todas las APT 20.500 veces en los últimos tres años.

El objetivo de los ataques es obtener acceso a clientes intermedios de varios proveedores de servicios en la nube (CSP), proveedores de servicios gestionados (MSP) y otras organizaciones de servicios informáticos a los que otras organizaciones conceden privilegios administrativos o acceso. Esta actividad se ha observado en organizaciones con sede en Estados Unidos y en toda Europa desde mayo de 2021.

Nuevo tipo de ataque

Una reciente campaña de Nobelium contra estas organizaciones pretendía explotar las relaciones técnicas de confianza que existen entre las empresas proveedoras, los gobiernos y otras empresas clientes. Según Microsoft, en este tipo de ataque, Nobelium se dirige a cuentas privilegiadas de proveedores de servicios para moverse lateralmente en entornos de nube, aprovechando las relaciones de confianza para obtener acceso a clientes posteriores y permitir otros ataques o acceder a sistemas objetivo.

Estos ataques no tienen como objetivo explotar las vulnerabilidades de seguridad de un producto, sino que forman parte del arsenal de técnicas y herramientas utilizadas por el grupo, que incluye malware sofisticado, sprays de contraseñas , ataques a la cadena de suministro, robo de tokens, abuso de API y spear phishing para comprometer cuentas de usuario y aprovechar el acceso a esas cuentas. Estos ataques pusieron de relieve la necesidad de que los administradores adopten prácticas estrictas de seguridad de cuentas y tomen medidas adicionales para proteger sus entornos.

En los ataques observados por Microsoft, Nobelium también se dirigía a los clientes finales, ya que delegan en el proveedor derechos administrativos que le permiten gestionar las múltiples aplicaciones del entorno del cliente como si fuera un administrador dentro de la organización. Al robar credenciales y comprometer cuentas a nivel del proveedor de servicios, Nobelium puede aprovechar varios vectores potenciales, como los privilegios administrativos delegados (DAP), y luego aprovechar ese acceso para extender los ataques descendentes a través de canales de confianza como VPN o soluciones proveedor-cliente únicas que permiten el acceso a la red.

Patrones posteriores a la explotación

En la campaña más reciente, el enfoque utilizado es el compromiso de uno a muchos, explotando la cadena de confianza de los proveedores de servicios para obtener un amplio acceso a múltiples servicios y aplicaciones de los clientes para ataques posteriores. Por lo general, el proveedor de servicios o el cliente no auditan el uso aprobado de estos privilegios administrativos ni los desactivan una vez finalizado su uso, dejándolos activos hasta que los administradores los eliminan. Si Nobelium ha comprometido las cuentas vinculadas a los privilegios administrativos a través de otros ataques de robo de credenciales, este acceso da a actores como Nobelium persistencia para campañas en curso.

En uno de los casos vigilados durante esta campaña, se observó al grupo encadenando artefactos y accesos a través de cuatro proveedores diferentes para alcanzar su objetivo final. El ejemplo siguiente demuestra la amplitud de las técnicas que utiliza el grupo para explotar y abusar de las relaciones de confianza con el fin de lograr su objetivo.

Figura 1 - Fuente: Microsoft

Se cree que las organizaciones, como los proveedores de servicios en la nube y otras organizaciones tecnológicas que gestionan servicios en nombre de clientes en sentido descendente, serán de interés permanente para los actores de amenazas y corren el riesgo de ser objeto de ataques a través de una variedad de métodos, desde el acceso a credenciales hasta la ingeniería social dirigida a través de procesos y procedimientos empresariales legítimos.

Detección e investigación mediante consultas - Caza de amenazas

Aquí se puede acceder a todas las Hunting Queries y medios de detección de los productos de Microsoft, incluidos Azure Sentinel, Microsoft 365 Defender, Microsoft Cloud Application, Security Azure Defender.

Mitigación y reparación

En este enlace se puede acceder a todo el proceso de mitigación y corrección de ataques del grupo Nobelium recomendado por Microsoft, aunque a continuación se pueden revisar las recomendaciones generales para las distintas categorías de servicios:

- Asegúrese de que se utiliza la autenticación multifactor (MFA) y de que se aplican las políticas de acceso condicional;
- Habilite Secure Application Model Framework - SAMF;
- Revise y audite los registros y las configuraciones;
- Elimine la conexión de privilegios administrativos delegados (DAP) cuando no se utilice;
- Revise, audite y minimice los privilegios y permisos de acceso delegados.

Referencias

  1. https://www.hackread.com/solarwinds-hackers-nobelium-hit-cloud-providers/
  2. https://www.microsoft.com/security/blog/2021/10/25/nobelium-targeting-delegated-administrative-privileges-to-facilitate-broader-attacks/
  3. https://blogs.microsoft.com/on-the-issues/2021/10/24/new-activity-from-russian-actor-nobelium/
Etiquetas: entorno , entorno de , , , , , la seguridad, , la seguridad, , la ciberseguridad, seguridad , inteligencia sobre , inteligencia sobre

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *.

Copyright © 2022 ISH Tecnologia, Todos los derechos reservados.