SolarWinds Attack subraya la &#39nueva dimensión&#39 en …



Mientras tanto, Malwarebytes es la última víctima, Symantec descubre una cuarta pieza de malware utilizada en la campaña de ataque masivo y FireEye Mandiant lanza una herramienta gratuita para ayudar a detectar los signos del ataque.

La compleja campaña de ciberataque contra las principales agencias y corporaciones del gobierno de EE. UU., Incluidas Microsoft y FireEye, ha llevado a casa la realidad de cómo los atacantes están poniendo su mirada en los servicios basados ​​en la nube de los objetivos, como Microsoft 365 y Azure Active Listing, para acceder a las credenciales de los usuarios y, en última instancia, a la la información más valiosa y oportuna de las organizaciones.

Hoy, Malwarebytes reveló que también fue comprometido por los mismos atacantes que infectaron el software program de administración de purple Orion de SolarWinds para alcanzar muchos de los objetivos de la campaña, pero a través de un vector de ataque diferente que obtuvo acceso privilegiado a 365 y Azure. «Después de una extensa investigación, determinamos que el atacante solo obtuvo acceso a un subconjunto limitado de correos electrónicos internos de la empresa. No encontramos evidencia de acceso no autorizado o compromiso en ninguno de nuestros entornos internos de producción y en las instalaciones», dijo Marcin Kleczynski, CEO y cofundador de Malwarebytes, dijo hoy en una publicación de web site que revela la infracción, señalando que Malwarebytes no es un cliente de SolarWinds.

Mientras tanto, los investigadores de seguridad y el private de respuesta a incidentes que investigan los ataques masivos, que se cree que son obra de la máquina de piratería del estado-nación de Rusia, continúan encontrando nuevas armas utilizadas en la campaña, incluso cuando se presentan nuevas víctimas.

Symantec detalló hoy una cuarta herramienta de malware, un cuentagotas llamado Raindrop, que se united states of america para moverse lateralmente en la crimson de la víctima y entregar una carga útil Cobalt Strike maliciosa en otras computadoras. A diferencia del gotero Teardrop descubierto anteriormente utilizado en los ataques para ejecutar Cobalt Strike, Raindrop no parece haber sido propagado directamente por el troyano Sunburst plantado en las actualizaciones del software program Orion de SolarWinds: «En cambio, aparece en otras partes de las redes donde al menos una computadora Sunburst ya ha sido comprometido «, el equipo de cazadores de amenazas de Symantec escribió en la publicación del blog de hoy.

Expertos en respuesta a incidentes (IR) en FireEye Mandiant, donde los ataques se detectaron por primera vez y se rastrearon hasta un compromiso del software program de SolarWinds. hoy publicó un libro blanco que explica en detalle cómo los atacantes de SolarWinds, así como otros grupos de amenazas, están pirateando organizaciones desde sus redes locales a Microsoft 365 y otros servicios en la nube. El informe de Mandiant explica cómo los atacantes pudieron atravesar los entornos de nube de Microsoft 365 de las organizaciones víctimas después de acceder a las actualizaciones de software de SolarWinds, principalmente atacando Energetic Directory y robando y falsificando credenciales de usuario.

A medida que emergen gradualmente los detalles de la cadena de ataque y el malware, los expertos dicen que el ataque épico señala una nueva normalidad para el ciberespionaje. Costin Raiu, jefe del equipo de análisis e investigación worldwide de Kaspersky, dice que la campaña de ataque SolarWinds ilustra cómo los atacantes de los estados nacionales persiguen información en tiempo true y cuán difícil es para las organizaciones objetivo detectarla. «Creo que hay una nueva dimensión de piratería informática (estado-nación) con todo Office environment 365 y Azure Ad Cloud», dice.

«Todo está sucediendo en la nube y nadie ve nada. En el mejor de los casos, usted (la víctima) recibe una notificación de Microsoft de que algo malo está sucediendo», señala Raiu.

De hecho, la visibilidad de la nube ha sido uno de los mayores problemas y debilidades de seguridad para las organizaciones el año pasado. El año pasado, COVID-19 obligó a muchas empresas a acelerar sus planes de migración a la nube cuando reubicaron a los empleados en oficinas en casa improvisadas, creando infraestructuras de TI híbridas físicas y basadas en la nube prácticamente de la noche a la mañana. Microsoft 365 reemplazó a los servidores de correo electrónico empresarial.

La mayoría de los servicios basados ​​en la nube de buena reputación, como 365, vienen con controles de seguridad integrados, pero aún depende del cliente administrar y configurar esas configuraciones, y ese es a menudo el problema. Es una receta para el compromiso por parte de determinados actores del estado-nación, como el equipo de piratería, aún no identificado, detrás de esos ataques. FireEye se refiere a los atacantes como UNC2452, mientras que la inteligencia del gobierno de Estados Unidos ha citado públicamente a Rusia como el autor de los ataques. La mayoría de las empresas de seguridad hasta ahora se han negado a identificar a Rusia o un grupo específico de estado-nación.

Raiu señala que si bien la foundation del ciberespionaje tradicionalmente ha sido el robo de documentos confidenciales, ahora se está duplicando el intercambio de información y el espionaje en tiempo real. «Hoy en día, parece que la gente entiende que la información más sensible se discute con otros … Si quieres información procesable en tiempo authentic, busca plataformas de mensajería instantánea y correo electrónico», dice.

Como en el caso de los ataques de SolarWinds, eso significa acceder a cuentas de correo electrónico y dispositivos móviles en la organización objetivo. «Algo de esto puede ser bastante sigiloso», dice, y a menudo es difícil detectar malware lanzado en un teléfono móvil, por ejemplo. «Es un ecosistema complejo».

365 errores
Matthew McWhirt, director de FireEye&#39s Mandiant y coautor de su informe recientemente publicado sobre los atacantes de SolarWinds, dice que sus equipos de IR ven una abundancia de 365 cuentas de usuario con demasiados privilegios innecesarios que dejan a la organización vulnerable a los atacantes, especialmente cuando migran. sus cuentas de usuario de Lively Directory en el sitio a Azure Advert y 365. Un paso en falso común: sincronizar una cuenta privilegiada community con una que administra Azure Advertisement y 365. Eso le da al atacante una ruta lateral desde la pink interna a la nube de la organización. 365 entorno.

Los usuarios deben separar la cuenta que administra 365 de la cuenta de administrador de dominio para la purple interna, dice.

Mandiant ha detectado a atacantes que encuentran y roban credenciales de cuentas de Advertisement privilegiadas en las instalaciones y luego se conectan a 365. Luego, el atacante puede conectarse y afianzarse en la cuenta 365 de la víctima «sin la necesidad continua de acceso neighborhood», la empresa escribió en su periódico.

El proveedor de seguridad también ha lanzado una herramienta gratuita basada en scripts en GitHub, Azure Advertisement Investigator, que verifica a los inquilinos de Microsoft 365 en busca de técnicas de ataque UNC2452.

«Mucho de lo que vemos es sobrecarga de tecnología, honestamente», señala Doug Bienstock, gerente de servicios profesionales de Mandiant, coautor del nuevo informe técnico sobre UNC2452. «Cuando las organizaciones usan (Microsoft) Trade en su propio centro de datos, (Exchange) está bien definido … Pero cuando cambian a 365, de repente tienen 50 aplicaciones diferentes y todas las formas diferentes de acceder a ellas, con estándares modernos como OAuth y SAML. Algunas organizaciones no están bien equipadas para manejarlo «.

Microsoft, que el mes pasado descubrió que su propio software program SolarWinds se había visto comprometido en los ataques, ha publicado pautas específicas para defender 365 de SolarWinds y otros ataques a través de la crimson interna. «Junto con nuestros socios de la industria y la comunidad de seguridad, Microsoft continúa investigando el alcance del reciente ataque estatal a SolarWinds», dijo un portavoz de Microsoft en un comunicado a Darkish Reading. «Nuestro objetivo es proporcionar la información más reciente sobre amenazas, indicadores de compromiso (IOC) y orientación a través de nuestros productos y soluciones para ayudar a la comunidad a responder, fortalecer la infraestructura y comenzar a recuperarse de este ataque sin precedentes. A medida que se dispone de nueva información, haremos actualizaciones al artículo en https://aka.ms/solorigate. «

El problema subyacente con las organizaciones que bloquean de manera insuficiente 365 es antiguo: «Lo que estamos viendo es más una tensión entre la seguridad y la usabilidad» con los ataques de 365, dice Bienstock de Mandiant. Los atacantes van tras las aplicaciones integradas con 365, por lo que protegerlas requiere «reforzarlas» o simplemente desactivar el acceso a aplicaciones o protocolos que no necesita, advierten él y sus coautores en su artículo.

UNC2452 y otros grupos de amenazas se han movido lateralmente de la purple de la víctima a 365 cuentas basadas en la nube a través de una combinación de cuatro enfoques básicos, según Mandiant: robar el certificado de firma de tokens de Lively Listing Federation Providers y usarlo para crear tokens falsos y posar como usuario legítimo de 365 agregar una puerta trasera de Azure Ad para falsificar tokens secuestrar una aplicación 365 a través de credenciales falsas y abusar y comprometer las credenciales de usuario privilegiado de la purple empresarial que están sincronizadas con el entorno 365 de la víctima.

«La intrusión se centra en el abuso de confianza», señala Joe Slowik, investigador de seguridad senior de DomainTools, sobre la campaña de ataque. «Eso es lo que hace que sea relativamente difícil de manejar».

Los ataques de la campaña que comenzaron con la infección SolarWinds Orion básicamente marcaron a los atacantes un mapa de purple del entorno de su objetivo. Chris Morales, jefe de análisis de seguridad de Vectra, un proveedor de respuesta a amenazas y detección de redes, dice que el acceso a Orion les dio a los atacantes una forma más eficiente de identificar cómo llegar a lo que querían de las víctimas. «En el ciclo de vida de un ataque, la velocidad y el tiempo son lo más importante en seguridad. Cuánto tiempo les toma entrar y llegar a lo que les importa», dice. «El reconocimiento de crimson es una gran oportunidad para la detección», dice, por lo que tener ese mapa hizo que el ataque fuera más fácil y menos probable que fuera detectado.

«Sunburst (el ataque SolarWinds) es un strategy para futuros ataques. Acorta la brecha de cuánto tiempo tomará un ataque», agrega Morales.

Microsoft 365 es una de las superficies de ataque más grandes en muchas organizaciones en la actualidad, dice. Cuando atacantes como estos ingresan a 365, es poderoso: «Ahora son persistentes y permanecen en Office … Ahora ves ataques que nunca salen de Office environment. Se han apoderado de identidades y otras cuentas».

Los atacantes realizaron una gran cantidad de piratería «quirúrgica» con las manos en el teclado, lo que parece indicar una campaña muy dirigida, dice Raiu de Kaspersky. Una vez que estuvieron listos para localizar a una víctima, implementaron el computer software Cobalt Strike pink-workforce, que luego requiere handle humano, señala. «Hay una capacidad limitada para todo este trabajo handbook».

Kelly Jackson Higgins es la editora ejecutiva de Dark Reading. Es una periodista veterana de tecnología y negocios galardonada con más de dos décadas de experiencia en la elaboración de informes y la edición de varias publicaciones, entre las que se incluyen Network Computing, Safe Business … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary