Los piratas informáticos de SolarWinds se dirigen a gobiernos y empresas de todo el mundo

Nobelium, una amenaza atribuida a un compromiso masivo en la cadena de suministro de SolarWinds, se ha vinculado una vez más a una serie de ataques dirigidos a varios proveedores de soluciones en la nube, servicios y vendedores a medida que el grupo de piratería continúa refinando y rediseñando sus tácticas a un nivel alarmante. rapidez en la respuesta a la publicación de información.

Las interrupciones que supervisa Mandiant en dos grupos diferentes de actividades, UNC3004 y UNC2652, están vinculadas a UNC2452, un grupo de amenazas no categorizado que desde entonces ha estado vinculado a la inteligencia rusa. En particular, se ha observado que UNC2652 apunta a entidades diplomáticas a través de correos electrónicos de phishing que contienen archivos adjuntos HTML con JavaScript malicioso, que finalmente arroja Cobalt Strike Beacon en los dispositivos infectados.

«En la mayoría de los casos, las actividades posteriores al compromiso incluyeron el robo de datos relevantes para los intereses rusos», dijeron en un nuevo informe los investigadores de Mandiant, Luke Jenkins, Sarah Hawley, Parnian Najafi y Doug Bienstock. «En algunos casos, el robo de datos parece haberse adquirido principalmente para crear nuevas vías de acceso a los entornos de otras víctimas».

La revelación se produce exactamente un año después de los detalles de una campaña de piratería respaldada por el Kremlin que interrumpió los servidores del proveedor de administración de SolarWinds para distribuir binarios de software dañados a muchos clientes importantes, incluidas nueve agencias federales de EE. UU.

En todo caso, este desarrollo es otro indicador de la capacidad del actor de la amenaza para «innovar e identificar nuevas técnicas y oficios constantemente para mantener un acceso duradero al entorno de las víctimas, obstaculizar la detección y confundir los esfuerzos de asignación», al tiempo que enfatiza «la eficiencia de terceros y las relaciones con proveedores de confianza para realizar operaciones vergonzosas «.

Microsoft llamó anteriormente a Nobelium «operadores inteligentes y metódicos que se adhieren a las mejores prácticas en operaciones de seguridad (OpSec).

Desde el incidente de SolarWinds, APT se ha relacionado con una serie de ataques dirigidos a grupos de expertos, empresas y gobiernos de todo el mundo, aunque se ha utilizado un conjunto cada vez mayor de herramientas de malware para hacerlo. creando soporte en el sistema infectado y descargando otros componentes maliciosos.

A finales de octubre de 2021, Microsoft puso fin a una campaña de penetración que amenazó a hasta 14 clientes intermedios de varios proveedores de servicios en la nube (CSP), proveedores de servicios gestionados (PYME) y otras organizaciones de servicios de TI. Los molestos ataques funcionaron al irrumpir en proveedores de servicios y luego usar el acceso privilegiado y las credenciales de esos proveedores para apuntar a una amplia gama de organizaciones que dependían de los CSP.

Máxima seguridad operativa y artesanía avanzada

Algunas de las otras técnicas que el grupo ha incluido en su manual incluyen el uso de credenciales potencialmente obtenidas de una campaña de amenazas de malware organizada por un actor externo para obtener acceso inicial a las organizaciones, una secuencia de ataques que resultó en las estaciones de trabajo de las víctimas. infectado con el malware CryptBot después de rastrear sitios de baja reputación que ofrecen software crackeado, lo que confirma un informe similar de Red Canary publicado la semana pasada.

Nobelium también utiliza una nueva herramienta llamada Ceeloader, un descargador personalizado diseñado para descifrar el contenido útil del código de shell para que se ejecute en la memoria en un sistema comprometido, así como para aprovechar las notificaciones push en los teléfonos inteligentes para eludir la protección de autenticación multifactor (MFA). .

«En estos casos, el actor de la amenaza tenía una combinación válida de nombre de usuario y contraseña», dijo el investigador. «Muchos MFA permiten a los usuarios aceptar una aplicación push para una aplicación de teléfono o aceptar una llamada telefónica y presionar una tecla como segundo factor de cuenta».

Otras tácticas notables incluyen:

  • Comprometa varias cuentas dentro del entorno y use cada una de estas cuentas para diferentes funciones para limitar la exposición.
  • Uso de una combinación de Tor, servidores privados virtuales (VPS) y redes privadas virtuales públicas (VPN) para acceder al entorno de la víctima
  • Alojar datos de segunda etapa como BLOB cifrados en WordPress legítimo y
  • Uso de rangos residenciales de direcciones IP para autenticarse en el entorno de la víctima.

«Esta actividad disruptiva refleja un conjunto bien equipado de actores de amenazas que trabajan con un alto nivel de interés en la seguridad operativa», dijeron los investigadores. «El abuso de terceros, en este caso CSP, puede facilitar el acceso a una amplia gama de víctimas potenciales a través de un único compromiso».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática