Agências de inteligência e segurança cibernética das nações do Five Eyes divulgaram um comunicado conjunto detalhando as táticas em evolução do ator de ameaça patrocinado pelo estado russo conhecido como APT29.
O grupo de hackers, também conhecido como BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard (antigamente Nobelium) e The Dukes, é avaliado como sendo afiliado ao Serviço de Inteligência Estrangeira (SVR) da Federação Russa.
Anteriormente atribuído ao comprometimento da cadeia de fornecimento do software SolarWinds, o grupo de espionagem cibernética atraiu atenção nos últimos meses por visar Microsoft, Hewlett Packard Enterprise (HPE) e outras organizações com o objetivo de promover seus objetivos estratégicos.
"À medida que as organizações continuam a modernizar seus sistemas e migram para infraestrutura baseada na nuvem, o SVR se adaptou a essas mudanças no ambiente operacional", segundo o boletim de segurança.
Obtendo acesso à infraestrutura de nuvem via contas de serviço e inativas por meio de ataques de força bruta e pulverização de senha, afastando-se da exploração de vulnerabilidades de software em redes locais
Utilizando tokens para acessar as contas das vítimas sem a necessidade de uma senha.
Aproveitando a pulverização de senhas e técnicas de reutilização de credenciais para assumir o controle de contas pessoais, usar a explosão de prompts para contornar requisitos de autenticação multifator (MFA) e, em seguida, registrar seu próprio dispositivo para acessar a rede.
Tornando mais difícil distinguir conexões maliciosas de usuários típicos, utilizando proxies residenciais para que o tráfego malicioso pareça originar-se de endereços IP dentro de faixas de provedor de serviços de internet (ISP) usadas para clientes de banda larga residencial e ocultar suas origens reais.
"Para organizações que migraram para infraestrutura em nuvem, a primeira linha de defesa contra um ator como o SVR deve ser proteger contra as TTPs do SVR para acesso inicial", disseram as agências.
"Uma vez que o SVR ganha acesso inicial, o ator é capaz de implantar capacidades de comprometimento pós altamente sofisticadas, como o MagicWeb."
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...