Agências de segurança cibernética e de inteligência da Austrália, do Canadá e dos EUA alertaram sobre uma campanha de um ano empreendida por atores cibernéticos iranianos para se infiltrarem em organizações de infraestruturas críticas através de ataques de força bruta.
“Desde outubro de 2023, atores iranianos têm usado força bruta e pulverização de senhas para comprometer contas de usuários e obter acesso a organizações nos setores de saúde e saúde pública (HPH), governo, tecnologia da informação, engenharia e energia”, disseram as agências em um comunicado. assessoria conjunta.
Os ataques tiveram como alvo os setores de saúde, governo, tecnologia da informação, engenharia e energia, de acordo com a Polícia Federal Australiana (AFP), o Centro Australiano de Segurança Cibernética (ACSC) da Diretoria de Sinais Australiana, o Estabelecimento de Segurança de Comunicações do Canadá (CSE), o Federal dos EUA Bureau of Investigation (FBI), a Agência de Segurança Cibernética e de Infraestrutura (CISA) e a Agência de Segurança Nacional (NSA).
Outra tática notável fora da força bruta e da pulverização de senhas diz respeito ao uso de bombardeio imediato de autenticação multifatorial (MFA) para penetrar em redes de interesse.
“O push bombing é uma tática empregada por agentes de ameaças que inundam, ou bombardeiam, um usuário com notificações push MFA com o objetivo de manipular o usuário para que aprove a solicitação involuntariamente ou por aborrecimento”, Ray Carney, diretor de pesquisa da Tenable, disse em um comunicado.
“Essa tática também é conhecida como fadiga do MFA. O MFA resistente ao phishing é o melhor mecanismo para evitar push bombing, mas se isso não for uma opção, a correspondência de números – exigindo que os usuários insiram um código específico de tempo de um sistema de identidade aprovado pela empresa – é um backup aceitável. Muitos sistemas de identidade têm correspondência de números como recurso secundário.”
O objetivo remaining destes ataques é provavelmente obter credenciais e informações que descrevam a rede da vítima, que podem então ser vendidas para permitir o acesso a outros cibercriminosos, ecoando um alerta emitido anteriormente pelos EUA em agosto de 2024.
O acesso inicial é seguido por etapas para realizar um reconhecimento extensivo dos sistemas e da rede da entidade usando ferramentas Dwelling-off-the-land (LotL), escalar privilégios through CVE-2020-1472 (também conhecido como Zerologon) e movimento lateral through RDP. Descobriu-se também que o ator da ameaça registra seus próprios dispositivos no MFA para manter a persistência.
Os ataques, em alguns casos, são caracterizados pelo uso de msedge.exe para estabelecer conexões de saída com a infraestrutura de comando e controle (C2) do Cobalt Strike.
“Os atores realizaram descobertas nas redes comprometidas para obter credenciais adicionais e identificar outras informações que poderiam ser usadas para obter pontos de acesso adicionais”, disseram as agências, acrescentando que “vendem essas informações em fóruns cibercriminosos para atores que podem usar as informações para conduzir atividades maliciosas adicionais.”
O alerta chega semanas depois que agências governamentais dos países dos Cinco Olhos publicaram orientações sobre as técnicas comuns que os agentes de ameaças usam para comprometer o Energetic Listing.
“O Energetic Listing é a solução de autenticação e autorização mais amplamente utilizada em redes empresariais de tecnologia da informação (TI) em todo o mundo”, afirmaram as agências. “Os agentes maliciosos visam rotineiramente o Energetic Listing como parte dos esforços para comprometer as redes de TI corporativas, aumentando os privilégios e visando os objetos de usuário mais confidenciais”.
Também segue uma mudança no cenário de ameaças, em que as equipes de hackers dos estados-nação estão cada vez mais colaborando com os cibercriminosos, terceirizando algumas partes de suas operações para promover seus motivos geopolíticos e financeiros, disse a Microsoft.
“Os atores de ameaças estatais estão conduzindo operações para obter ganhos financeiros e contando com a ajuda de cibercriminosos e malware de commodities para coletar inteligência”, observou a gigante da tecnologia em seu Relatório de Defesa Digital para 2024.
“Os atores de ameaças do Estado-nação conduzem operações para obter ganhos financeiros, alistam criminosos cibernéticos para coletar informações sobre as forças armadas ucranianas e fazem uso dos mesmos ladrões de informações, estruturas de comando e controle e outras ferramentas favorecidas pela comunidade cibercriminosa”.
