A Microsoft alerta sobre a expansão dos ataques de espionagem APT29 visando organizações globais
26 de Janeiro de 2024

A Microsoft disseu na quinta-feira que os agentes de ameaças patrocinados pelo estado russo responsáveis por um ataque cibernético aos seus sistemas em novembro de 2023 têm visado outras organizações e que atualmente está começando a notificá-las.

O desenvolvimento vem um dia depois que a Hewlett Packard Enterprise (HPE) revelou que tinha sido vítima de um ataque perpetrado por uma equipe de hackers conhecida como APT29, que também é conhecida como BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard (antigamente Nobelium) e The Dukes.

"Este agente de ameaça é conhecido por visar principalmente governos, entidades diplomáticas, organizações não governamentais (ONGs) e provedores de serviços de TI, principalmente nos EUA e Europa", disse a equipe de inteligência de ameaças da Microsoft em um novo comunicado.

O objetivo principal dessas missões de espionagem é reunir informações sensíveis que sejam de interesse estratégico para a Rússia, mantendo posições por longos períodos de tempo sem atrair atenção.

A última revelação indica que a escala da campanha pode ter sido maior do que se pensava anteriormente.

No entanto, a gigante da tecnologia não revelou quais outras entidades foram alvo.

As operações da APT29 envolvem o uso de contas legítimas, mas comprometidas, para ganhar e expandir o acesso a um ambiente alvo e voar sob o radar.

Também é conhecida por identificar e abusar de aplicações OAuth para se mover lateralmente pelas infraestruturas de nuvem e para atividades pós-comprometimento, como coleta de emails.

"Eles utilizam diversos métodos de acesso inicial, variando desde credenciais roubadas a ataques à cadeia de suprimentos, exploração de ambientes locais para mover-se lateralmente para a nuvem e exploração da cadeia de confiança dos provedores de serviços para obter acesso aos clientes downstream", observou a Microsoft.

Outra tática notável envolve o uso de contas de usuário violadas para criar, modificar e conceder altas permissões a aplicações OAuth que podem ser usadas para ocultar atividades maliciosas.

Isso permite que os agentes de ameaças mantenham acesso a aplicativos, mesmo que percam o acesso à conta inicialmente comprometida, apontou a empresa.

Essas aplicações OAuth maliciosas são usadas para se autenticar no Microsoft Exchange Online e atacar contas de email corporativas da Microsoft para exfiltrar dados de interesse.

No incidente que visou a Microsoft em novembro de 2023, o agente de ameaça utilizou um ataque de pulverização de senhas para infiltrar-se com sucesso em uma conta de teste de legado não produzida que não tinha autenticação de múltiplos fatores (MFA) ativada.

Esses ataques são lançados a partir de uma infraestrutura proxy residencial distribuída para ocultar suas origens, permitindo que o agente de ameaça interaja com o inquilino comprometido e com o Exchange Online por meio de uma vasta rede de endereços IP também utilizados por usuários legítimos.

"O uso de proxies residenciais pelo Midnight Blizzard para ofuscar conexões torna a detecção baseada em indicadores tradicionais de compromisso (IoC) inviável devido à alta taxa de troca de endereços IP", disse a Redmond, necessitando que as organizações tomem medidas para se defender contra aplicações OAuth e pulverização de senhas.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...