Vectra Los clientes deben ser conscientes de que los actuales acontecimientos mundiales relacionados con el reconocimiento ruso de las regiones separatistas de Ucrania conllevan el riesgo de un aumento de la actividad cibernética llevada a cabo por actores rusos a nivel estatal. Esto incluye pruebas de que el FSB, la principal Organización de Inteligencia de Rusia, es responsable del DDoS contra los sistemas ucranianos en febrero de 2022. [1] Existe una preocupación creíble de que la selección de objetivos pueda ampliarse más allá de los objetivos regionales para incluir, por ejemplo, objetivos política o económicamente útiles en los países de la OTAN.
Este aviso se ha generado para comunicar de forma proactiva a los clientes que operan en industrias o regiones sometidas a un mayor riesgo y destacar las capacidades de protección que Vectra está proporcionando para gestionar estos riesgos.
Aunque este aviso es de carácter informativo, invitamos a todos los clientes que crean que pueden estar sufriendo un ataque a que se pongan en contacto con nosotros de inmediato: estamos aquí para ayudarles.
Vectra Protección contra las APT rusas
Muchos grupos APT, independientemente de su origen, siguen un patrón de ataque similar. Por lo tanto, basándonos en la actividad previa de los actores estatales, incluidos los actores estatales rusos, los clientes de Vectra pueden esperar los siguientes tipos generales de actividad si son atacados:
- Objetivo de compromiso
- Reconocimiento de la red
- Establecer un punto de apoyo / persistencia
- Exfiltrar datos
Con este fin, además de la inteligencia sobre amenazas aplicable, Vectra esperaría notificar a los usuarios las siguientes detecciones:
Objetivo de compromiso
- Túnel HTTP(S) oculto
- Túnel DNS oculto
- Acceso remoto externo: estas detecciones están vinculadas a actividades conocidas de actores de amenazas avanzadas que utilizan implantes conocidos, como Cobalt Strike, y también implantes personalizados.
Reconocimiento de la red
- RPC Recon / RPC Targeted Recon
- Exploración de puertos
- Exploración interna de la Darknet: este tipo de detecciones, junto con la categoría anterior, indican que un host está explorando la red. El reconocimiento RPC y el reconocimiento dirigido indican que un actor de amenazas podría estar mapeando objetivos de alto valor con una herramienta como Bloodhound.
Establecer el punto de apoyo / persistencia
- Ejecución remota sospechosa (Schtask / WMI / llamadas RPC)
- Anomalía de privilegios - A medida que un atacante intenta utilizar las cuentas robadas durante la fase inicial del ataque, es probable que intente utilizar servicios que la cuenta nunca ha utilizado antes. Esto activará una detección de anomalía de privilegios que mostrará dónde la cuenta, host o servicio se sale del comportamiento aprendido. Los atacantes también utilizarán los métodos y canales de comunicación existentes para propagar el implante a otros hosts. Puede que no se trate del mismo implante inicial, algunos actores de amenazas han sido conocidos por dejar caer WebShells en hosts para acceder años más tarde.
Exfiltrar datos
- Contrabandista de datos
- Túnel DNS oculto: este último paso suele ser muy difícil de detectar. Los actores de amenazas rusas de alto nivel, como Turla, se sitúan en el borde de una red y roban datos de forma casi pasiva. Esto también es común para la actividad de threadjacking de correo electrónico, donde un atacante se inserta en una cadena de correo electrónico para hacer que los objetivos hagan clic en enlaces, abran documentos o interactúen en actividades maliciosas de una manera u otra.
Microsoft365 y entornos cloud
Los ataques anteriores de actores estatales rusos han utilizado el entorno en línea del objetivo. Esto puede adoptar la forma de toma de cuentas mediante fuerza bruta, pulverización de contraseñas (utilizando VPN para garantizar que las protecciones predeterminadas no los bloqueen), elusión de MFA o phishing, para obtener acceso inicial, y una vez que se establece un punto de apoyo hay muchas vías que un atacante puede tomar para robar información y mantener un punto de apoyo.
En mayo de 2021, actores estatales rusos conocidos como Nobelium, comprometieron entornos en cloud de Microsoft con el fin de comprometer cadenas de suministro. Estos ataques siguieron patrones que también se han observado en otros compromisos por parte de actores estatales en entornos de cloud , que siguen patrones similares a los siguientes:
- Abuso de funciones privilegiadas
- Abuso de las aplicaciones existentes
- Ganar persistencia
- Exfiltrar datos
Para ello, Vectra debería notificar a los usuarios las siguientes detecciones:
Abuso de funciones privilegiadas
- Intento de fuerza bruta en Azure AD
- Inicio de sesión sospechoso en Azure AD
- Azure AD MFA-Falló el inicio de sesión sospechoso
- Actividad sospechosa de inicio de sesión en O365 - Este paso del ataque puede ser a veces el más ruidoso, sin embargo, con una fuerza de trabajo remota, detectar esta actividad se convierte en algo que no es suficiente con una simple búsqueda en el registro. Detect for Cloud producirá detecciones como las enumeradas anteriormente para ayudar a los analistas a encontrar la actividad.
Abuso de las aplicaciones existentes
- Cambio de Azure AD a la configuración de IP de confianza
- Operación sospechosa de Azure AD
- Aplicación de equipos sospechosos de O365: las aplicaciones y los principales de servicio que poseen valiosos derechos de acceso se modifican con secretos adicionales, creando esencialmente una "puerta trasera" que los atacantes utilizan para realizar acciones privilegiadas en nombre de esas aplicaciones.
Ganar persistencia
- Azure AD AdminAccount recién creada
- Creación de acceso redundante a Azure AD
- Operación sospechosa de Azure AD
- Azure AD Unusual Scripting EngineUso
- O365 Spearphishing interno
- O365 Suspicious Exchange TransportRule
- Reenvío de correo sospechoso de O365
- O365 Suspicious MailboxManipulation - Hay muchas maneras de ganar persistencia en un entorno de cloud . Muchas de las detecciones de Detect for Cloud están diseñadas para encontrar actividades que van desde la creación de cuentas en Azure AD hasta la instalación de reglas de transporte, que pueden redirigir el correo electrónico o, en ataques anteriores, se han utilizado como implante de comando y control[1].
Exfiltrar datos
- Operación de intercambio arriesgada en O365
- Actividad de descargas sospechosas en O365
- Reenvío de correo sospechoso de O365
- Manipulación sospechosa del buzón de O365
- Actividad de compartición sospechosa en O365: durante esta etapa, junto con la apertura de los derechos de compartición a destinos no locales, se modifican los permisos del buzón de correo del objetivo para dar a otro usuario (controlado por el atacante) acceso de lectura al correo electrónico del objetivo, seguido de la exfiltración periódica de correo electrónico.
Esta lista no es completa de todos los ataques esperados en un ataque a cloud , los atacantes utilizan una amplia gama de tácticas en el entorno rico en objetivos de la cloud. En futuros blogs de Vectra Security Research se describirán más comportamientos esperados, obtenidos a partir de observaciones de actores estatales rusos durante ataques activos.
Lo que nos dice la Historia
Los actores de las amenazas rusas operan en todos los niveles de complejidad y estrategia contra las organizaciones, por ejemplo, no sólo los ataques DDoS suponen una amenaza por parte de grupos como el FSB y otros, sino que también grupos como Turla (Snake, Venomous Bear, Uroburous) operan al margen de la red, con técnicas y malware novedosos y muy avanzados.
Ejemplos tangibles de actividades recientes de actores estatales rusos incluyen los ataques SolarFlare / SUNBURST de 2020, donde los operadores estatales rusos Nobelium (Cozy Bear, APT29) comprometieron la infraestructura de SolarWinds y los mecanismos de despliegue de código. Además, este grupo comprometió la infraestructura de o365 con enfoques sigilosos muy bajos para comprometer grandes cantidades de datos de clientes con credenciales de o365 robadas para moverse lateralmente y permanecer ocultos mientras robaban datos, realizaban reconocimientos y se preparaban para sus siguientes etapas de ataque.
Sin embargo, no solo Rusia estará implicada en ciberataques globales. Por ejemplo, tras la anexión de Crimea en 2014, muchos actores de amenazas utilizaron el acontecimiento como pretexto para incluir señuelos dentro de documentos y correos electrónicos maliciosos con el fin de comprometer organizaciones con fines totalmente ajenos a los objetivos rusos a nivel estatal.
Lo esencial
Vectra protege frente a todos los niveles de amenazas, desde ataques a la red y tráfico de Command and Control , hasta apropiaciones de cuentas y actividad maliciosa de Microsoft Office 365. Los clientes de los servicios gestionados de detección y respuesta de Vectra (Sidekick) están protegidos además por Spot Priority, lo que significa que los analistas de Vectra serán notificados inmediatamente de los hosts que muestren actividad relacionada con actores de amenazas APT rusos.
Además, Vectra tiene Inteligencia de Amenazas incorporada, lo que significa que para cualquier host con detecciones, si hay un comportamiento en la infraestructura del atacante, se añadirá al contenedor del host una detección que describa la actividad.
Si bien es importante reconocer el aumento de los riesgos de determinados actores de amenazas, Vectra busca comportamientos comunes a todos los actores de amenazas, lo que significa que no importa qué atacante se dirija a su organización, Vectra le ayudará a identificarlo rápidamente y a expulsarlo antes de que se haya producido el daño.
--
[1] https://www.gov.uk/government/news/uk-assess-russian-involvement-in-cyber-attacks-on-ukraine
[2] https://www.welivesecurity.com/wp-content/uploads/2019/05/ESET-LightNeuron.pdf
[3] https://www.fireeye.com/content/dam/collateral/en/wp-m-unc2452.pdf - fuente ya no disponible
[5] https://www.crowdstrike.com/blog/observations-from-the-stellarparticle-campaign/