Agências Five Eyes Exposam Táticas de Ataque na Nuvem em Evolução do APT29
27 de Fevereiro de 2024

Agências de inteligência e segurança cibernética das nações do Five Eyes divulgaram um comunicado conjunto detalhando as táticas em evolução do ator de ameaça patrocinado pelo estado russo conhecido como APT29.

O grupo de hackers, também conhecido como BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard (antigamente Nobelium) e The Dukes, é avaliado como sendo afiliado ao Serviço de Inteligência Estrangeira (SVR) da Federação Russa.

Anteriormente atribuído ao comprometimento da cadeia de fornecimento do software SolarWinds, o grupo de espionagem cibernética atraiu atenção nos últimos meses por visar Microsoft, Hewlett Packard Enterprise (HPE) e outras organizações com o objetivo de promover seus objetivos estratégicos.

"À medida que as organizações continuam a modernizar seus sistemas e migram para infraestrutura baseada na nuvem, o SVR se adaptou a essas mudanças no ambiente operacional", segundo o boletim de segurança.

Obtendo acesso à infraestrutura de nuvem via contas de serviço e inativas por meio de ataques de força bruta e pulverização de senha, afastando-se da exploração de vulnerabilidades de software em redes locais

Utilizando tokens para acessar as contas das vítimas sem a necessidade de uma senha.

Aproveitando a pulverização de senhas e técnicas de reutilização de credenciais para assumir o controle de contas pessoais, usar a explosão de prompts para contornar requisitos de autenticação multifator (MFA) e, em seguida, registrar seu próprio dispositivo para acessar a rede.

Tornando mais difícil distinguir conexões maliciosas de usuários típicos, utilizando proxies residenciais para que o tráfego malicioso pareça originar-se de endereços IP dentro de faixas de provedor de serviços de internet (ISP) usadas para clientes de banda larga residencial e ocultar suas origens reais.

"Para organizações que migraram para infraestrutura em nuvem, a primeira linha de defesa contra um ator como o SVR deve ser proteger contra as TTPs do SVR para acesso inicial", disseram as agências.

"Uma vez que o SVR ganha acesso inicial, o ator é capaz de implantar capacidades de comprometimento pós altamente sofisticadas, como o MagicWeb."

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...