Agências Five Eyes expõem as táticas de ataque à nuvem em evolução do APT29
![russian hackers](https://i2.wp.com/blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhZ9R6RRbqBOFrZ3AzyjY0ZCxsG3TumsFFMgP7z2DcVfrAV9s3ZiMt5aXH2wV-jUtXsuY5GoqTcECrkrKRfMQ94FnKmIgOYSg9g-h0D6Z1SA3jJCK3KSt8m7HnG8kTAeSVQ3hyphenhyphenXR_-vVtD_VcQ4HcvvQ8cDx7UIKTuR3lH81ulz0oGHYJz4hgmKeulH0ep4/s728-rw-e365/russian-hackers.jpg?w=780&resize=780,470&ssl=1)
![Táticas de ataque na nuvem Táticas de ataque na nuvem](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhZ9R6RRbqBOFrZ3AzyjY0ZCxsG3TumsFFMgP7z2DcVfrAV9s3ZiMt5aXH2wV-jUtXsuY5GoqTcECrkrKRfMQ94FnKmIgOYSg9g-h0D6Z1SA3jJCK3KSt8m7HnG8kTAeSVQ3hyphenhyphenXR_-vVtD_VcQ4HcvvQ8cDx7UIKTuR3lH81ulz0oGHYJz4hgmKeulH0ep4/s728-rw-e365/russian-hackers.jpg)
As agências de segurança cibernética e de perceptibilidade das nações dos Cinco Olhos divulgaram um transmitido conjunto detalhando a evolução das táticas do ator de ameaço patrocinado pelo Estado russo espargido porquê APT29.
O grupo de hackers, também espargido porquê BlueBravo, Cloaked Ursa, Cosy Bear, Midnight Blizzard (anteriormente Nobelium) e The Dukes, é considerado afiliado ao Serviço de Lucidez Estrangeiro (SVR) da Federação Russa.
Anteriormente atribuído ao comprometimento da ergástulo de fornecimento do software SolarWinds, o grupo de espionagem cibernética atraiu a atenção nos últimos meses por ter porquê objectivo a Microsoft, a Hewlett Packard Enterprise (HPE) e outras organizações com o objetivo de promover os seus objetivos estratégicos.
“À medida que as organizações continuam a modernizar os seus sistemas e a transmigrar para infraestruturas baseadas na nuvem, o SVR adaptou-se a estas mudanças no envolvente operacional”, de combinação com o boletim de segurança.
Esses incluem –
- Obtenção de chegada à infraestrutura em nuvem por meio de serviços e contas inativas por meio de ataques de força bruta e de pulverização de senhas, evitando a exploração de vulnerabilidades de software em redes locais
- Usando tokens para acessar contas de vítimas sem a premência de senha
- Aproveitar técnicas de pulverização de senhas e reutilização de credenciais para assumir o controle de contas pessoais, usar bombardeio súbito para contornar os requisitos de autenticação multifator (MFA) e, em seguida, registrar seu próprio dispositivo para obter chegada à rede
- Tornando mais difícil notabilizar conexões maliciosas de usuários típicos, utilizando proxies residenciais para fazer o tráfico malicioso parecer originário de endereços IP dentro de intervalos de provedores de serviços de Internet (ISP) usados para clientes residenciais de margem larga e ocultar suas verdadeiras origens
“Para as organizações que migraram para a infraestrutura em nuvem, a primeira risca de resguardo contra um ator porquê o SVR deveria ser a proteção contra os TTPs do SVR para chegada inicial”, disseram as agências. “Logo que o SVR obtiver chegada inicial, o ator será capaz de implantar recursos pós-comprometimento altamente sofisticados, porquê o MagicWeb.”