As agências de segurança cibernética e de perceptibilidade das nações dos Cinco Olhos divulgaram um transmitido conjunto detalhando a evolução das táticas do ator de ameaço patrocinado pelo Estado russo espargido porquê APT29.
O grupo de hackers, também espargido porquê BlueBravo, Cloaked Ursa, Cosy Bear, Midnight Blizzard (anteriormente Nobelium) e The Dukes, é considerado afiliado ao Serviço de Lucidez Estrangeiro (SVR) da Federação Russa.
Anteriormente atribuído ao comprometimento da ergástulo de fornecimento do software SolarWinds, o grupo de espionagem cibernética atraiu a atenção nos últimos meses por ter porquê objectivo a Microsoft, a Hewlett Packard Enterprise (HPE) e outras organizações com o objetivo de promover os seus objetivos estratégicos.
“À medida que as organizações continuam a modernizar os seus sistemas e a transmigrar para infraestruturas baseadas na nuvem, o SVR adaptou-se a estas mudanças no envolvente operacional”, de combinação com o boletim de segurança.
Esses incluem –
- Obtenção de chegada à infraestrutura em nuvem por meio de serviços e contas inativas por meio de ataques de força bruta e de pulverização de senhas, evitando a exploração de vulnerabilidades de software em redes locais
- Usando tokens para acessar contas de vítimas sem a premência de senha
- Aproveitar técnicas de pulverização de senhas e reutilização de credenciais para assumir o controle de contas pessoais, usar bombardeio súbito para contornar os requisitos de autenticação multifator (MFA) e, em seguida, registrar seu próprio dispositivo para obter chegada à rede
- Tornando mais difícil notabilizar conexões maliciosas de usuários típicos, utilizando proxies residenciais para fazer o tráfico malicioso parecer originário de endereços IP dentro de intervalos de provedores de serviços de Internet (ISP) usados para clientes residenciais de margem larga e ocultar suas verdadeiras origens
“Para as organizações que migraram para a infraestrutura em nuvem, a primeira risca de resguardo contra um ator porquê o SVR deveria ser a proteção contra os TTPs do SVR para chegada inicial”, disseram as agências. “Logo que o SVR obtiver chegada inicial, o ator será capaz de implantar recursos pós-comprometimento altamente sofisticados, porquê o MagicWeb.”
