Nobelium, el compromiso detrás del compromiso de SolarWinds en diciembre de 2020, está detrás de una ola continua de ataques que amenazaron a 14 clientes intermedios de múltiples proveedores de servicios en la nube (CSP), proveedores de servicios administrados (SME) y otras organizaciones de servicios de TI, lo que ilustra el interés continuo del adversario. en la orientación a la cadena de suministro a través de un enfoque de «compromiso-uno-de-compromiso-muchos».
Microsoft, que dio a conocer los detalles de la campaña el lunes, dijo que había informado a más de 140 vendedores y proveedores de servicios tecnológicos desde mayo. Entre el 1 de julio y el 19 de octubre de 2021, Nobelium supuestamente seleccionó a 609 clientes que fueron atacados en masa un total de 22 868 veces.
«Esta actividad reciente es otra indicación de que Rusia está buscando acceso sistemático a largo plazo a varios puntos en la cadena de suministro de tecnología y establecer un mecanismo para monitorear, ahora o en el futuro, los objetivos de interés del gobierno ruso», dijo Tom Burt, director de Microsoft. vicepresidente corporativo de seguridad y confianza del cliente.
Los ataques recientemente descubiertos no explotan ninguna vulnerabilidad de seguridad específica en el software, sino que utilizan una amplia gama de técnicas, como la difusión de contraseñas, el robo de tokens, el abuso de API y el phishing selectivo, para excluir las credenciales asociadas con cuentas de proveedores de servicios privilegiados. permitiendo a los atacantes moverse lateralmente en entornos de nube y conectar otras intersecciones.
El objetivo, según Microsoft, es que «en última instancia, Nobelium espera aprovechar cualquier acceso directo que los proveedores puedan tener a los sistemas de TI de sus clientes y actuar más fácilmente como un socio tecnológico confiable para que la organización obtenga acceso a sus clientes intermedios».
En todo caso, los ataques son otra manifestación de las tácticas frecuentemente repetidas de Nobelium, que se ha descubierto que abusan de las relaciones de confianza que disfrutan los proveedores de servicios para profundizar en muchas víctimas de interés de inteligencia. Como mitigación, la empresa recomienda que las empresas permitan la autenticación multifactor (MFA) y las auditorías de privilegios de administrador delegado (DAP) para evitar un posible abuso de los privilegios elevados.
El desarrollo también se produce menos de un mes después de que el gigante de la tecnología presentara una nueva puerta trasera pasiva y altamente específica llamada «FoggyWeb» implementada por un grupo de piratas informáticos para proporcionar cargas útiles adicionales y robar información confidencial de los servidores de Active Directory Federation Services (AD FS).
