Breve actualización de nuestras perspectivas: 9 de marzo de 2022
A medida que avanzamos hacia una nueva fase de la invasión de Ucrania, y las posteriores operaciones cibernéticas que hemos visto, ¿qué es lo que hay que saber?
En el nivel superior, la respuesta más importante a esa pregunta es que Vectra Security Research y Threat intel están trabajando duro para garantizar que ofrecemos la mejor cobertura para detectar amenazas cuando se producen en cualquier nivel de su red, y proporcionamos los medios para reaccionar con rapidez, eficacia y cortar los ataques antes de que se conviertan en el próximo caso de estudio de respuesta a incidentes.
Sobre el terreno y en los medios de comunicación, la guerra ha dejado de ser una rápida expansión agresiva hacia nuevos territorios y se ha convertido en una batalla más campal de palabras. Los líderes mundiales se mueven para sancionar aún más y aumentar su control sobre los multimillonarios y los activos rusos. Hay una creciente presión social para que las empresas retiren sus productos de Rusia, la guerra se ha hecho ahora mucho más pequeña en la mente de la gente. En cuanto al ciberespionaje y las batallas que se libran en las redes informáticas, las tácticas también han cambiado. Cuando comenzó la guerra terrestre, hubo un impulso para interrumpir las comunicaciones y las redes informáticas de las fuerzas que se desplazaban para defender las posiciones. El mundo fue testigo del despliegue de tres tipos discretos de ataque. En primer lugar, los sistemas ucranianos fueron objeto de un ataque DDoS masivo, al que siguió el conocido malware HermeticWiper, utilizado para destruir sistemas, y también Microsoft vio el despliegue de un nuevo troyano, FoxBlade.
El paso a las operaciones clandestinas
Mandiant ha elaborado recientemente un informe en el que se detalla un ataque en curso de APT41 contra objetivos del Gobierno de EE.UU.5 . Este actor estatal chino detalló el uso de múltiples intentos para comprometer sus objetivos, desde su propio día cero en una aplicación web, hasta el uso de las vulnerabilidades Log4J bien distribuidas para lograr la acción sobre el objetivo. En estos casos, el actor de la amenaza desplegó su propio malware sofisticado utilizando un comportamiento tradicional de tipo C2, y también desplegando persistencia mediante el uso de técnicas de "caída muerta" para actualizar las direcciones IP C2.
¿Y ahora qué?
Una vez más, se nos pregunta: si esto es lo de siempre, ¿qué deberíamos hacer?
En primer lugar, debemos permanecer alerta, ya que se ha demostrado que, si bien las actividades que acaparan titulares centrarán nuestra atención en las que tienen lugar en el extranjero, también debemos estar atentos a lo que sabemos que es cierto: Los delincuentes aprovecharán la oportunidad de utilizar un acontecimiento mundial para propagar su propio malware, los sofisticados actores APT intentarán utilizar la cortina de humo creada por malware destructivo para infiltrarse en objetivos de interés en una guerra terrestre y, por último, solo porque esto esté ocurriendo en el extranjero no debemos perder de vista nuestras propias redes y seguridad.
--
[ 2 ] https://twitter.com/dsszzi/status/1499740427783651336?s=20&t=fDgbTX1ydsnTRjocdQUopw
[3] https://malpedia.caad.fkie.fraunhofer.de/details/win.formbook
Contenido previo: 2 marzo, 2022
Hace una semana, escribimos sobre cómo operan los actores de nivel estatal en Rusia y otros grupos asociados durante un ataque de ciberseguridad, o durante un conflicto terrestre en curso. Echando la vista atrás a los últimos siete días, nos gustaría ofrecer una perspectiva actualizada con una nueva mirada a lo que sabemos sobre cómo operan los actores de amenazas de Rusia.
Además, nos gustaría llamar la atención sobre el hecho de que Microsoft también ha identificado un nuevo troyano capaz de ser utilizado como parte de un ataque DDoS conocido como FoxBlade .A!dha y su progenitor FoxBlade.B!dha. Estos fueron identificados justo antes de los primeros movimientos de los militares rusos para apoderarse de territorio en Ucrania, lo que demuestra lo unidas que están realmente las operaciones militares y cibernéticas rusas.
Los operadores Malware inundarán las defensas rusas
Como en cualquier conflicto, siempre hay voluntarios, y esta guerra híbrida terrestre / cibernética no es diferente. Uno de los primeros grupos en jurar lealtad a Rusia fue el grupo Conti / TrickBot, aunque desde entonces han suavizado su postura. Esta banda es responsable de algunas de las mayores y más exitosas campañas de ransomware de los últimos 5 años. TrickBot y su papel en el despliegue de IcedID, CobaltStrike y numerosas campañas de ransomware, es un nombre que la mayoría de los operadores de equipos azules conocen bien. A finales de febrero se informó del cierre del proyecto TrickBot, lo que supuso un duro golpe para la banda. Conti, sin embargo, prevalece, habiendo tomado recientemente el control del malware BazarBackdoor.
Los clientes de Vectra deben buscar detecciones Vectra Threat Intel Match con el actor de la amenaza listado como WIZARD SPIDER o WIZARDSPIDER este es el nombre interno del grupo. BazarBackdoor, que es lanzado por el malware BazarLoader, se comunica a través de HTTP y DNS con dominios [.]bazar. Los clientes deben buscar detecciones de túneles HTTP ocultos, túneles HTTPS ocultos y túneles DNS ocultos, ya que estos son los principales métodos de comunicación del backdoor. Esto ayudará a correlacionar posibles infecciones.
El backdoor también tiene varios componentes modulares, que pueden ejecutar comandos PowerShell en el host infectado, por lo que otras detecciones a tener en cuenta incluyen Ejecución Remota Sospechosa utilizando métodos WMI para ejecutar comandos en otros hosts. Este grupo de amenazas también es conocido por utilizar el Programador de Tareas y SMB para propagarse lateralmente, así que busque schtask como una operación en las detecciones de Ejecución Remota Sospechosa.
Al principio de la campaña terrestre, surgieron dos nuevas familias de malware en el conflicto de la seguridad de la información, en concreto WhisperGate y Hermetic wiper. Ambos son tipos de malware destructivos / Ransomware Lite, que destruyen sistemas y a veces piden un pago, pero no proporcionan una opción de recuperación. Por el momento, no hay IOC de red que buscar, pero Vectra sigue siendo capaz de encontrar ataques de ransomware a medida que ocurren, y permitir que los respondedores reaccionen rápidamente. Un ejemplo de ello es una revisión posterior a un incidente en la que un cliente hizo precisamente eso utilizando Cognito Detect. El director de tecnología de Vectra también ha publicado un artículo en su blog sobre la actual oleada de ransomware.
Los equipos de inteligencia sobre amenazas y servicios de Vectra también están recopilando cientos de indicadores e informes para servir mejor a nuestros clientes. Con este fin hemos publicado hasta ahora tres nuevas búsquedas guardadas en Recall:
- Cogntio - TTP - iSession - Direcciones IP C2 codificadas de Cyclops Blink: Esta búsqueda guardada está diseñada para encontrar comunicaciones con las direcciones IP C2 codificadas del malware Cyclops Blink.
- Cognito - TTP - Archivos SMB - Nota de rescate y extensión conocidas de Lockbit
- Cognito - TTP - Archivos SMB - Lockbit Known Named Pipe: Estas dos búsquedas están diseñadas para encontrar actividad LockBit en la red buscando la comunicación Named Piped que es utilizada por el malware para permanecer oculto. También busca identificar la transferencia de archivos potencialmente maliciosos.
Mayor concienciación y mejores prácticas
Actualmente, Vectra está trabajando duro para asegurar que todos los clientes estén protegidos. Si usted es un cliente de Sidekick, el equipo de analistas está proporcionando cobertura práctica y está trabajando con la inteligencia de amenazas de Vectra directamente para proporcionar la mejor prioridad y servicio posibles. Para la base de clientes más amplia, la inteligencia de amenazas de Vectra está recopilando miles de indicadores e informes independientes para garantizar la mejor cobertura para todos. También seguimos trabajando para confirmar los comportamientos de los operadores de malware y los actores de amenazas conocidos y comprometidos, con el fin de garantizar que las detecciones coincidan con el malware conocido y el comportamiento de los actores de amenazas.
Detecciones notables a tener siempre en cuenta serán:
- Túnel oculto [HTTP, HTTPS, DNS]: Estas detecciones encontrarán comportamientos deCommand and Control malware .
- Acceso Remoto Externo: Aquí también encontraremos canales de comando y control Malware más tradicionales.
- Ejecución remota sospechosa: Muchos actores de amenazas intentarán propagarse lateralmente en un entorno utilizando los canales existentes, lo que hace que estas detecciones sean más relevantes en este momento.
- Detecciones de anomalías de privilegios: Estas detecciones mostrarán el uso de cuentas sospechosas. Muchas amenazas buscan cuentas con altos niveles de privilegios en una red para propagar su malware o atacar objetivos de gran valor, como Active Directory.
Todavía no se ha informado ampliamente de ataques basados en Cloud nube, pero es probable que mientras se producen estos ataques destructivos y ruidosos, también se produzcan ataques silenciosos centrados en la cloud . Los actores estatales rusos se están pasando a la cloud para sus ataques. La CISA publicó un informe en febrero de 2022 en el que afirmaba que atacantes rusos patrocinados por el Estado habían penetrado en la infraestructura cloud contratistas de defensa. Basándose en investigaciones de ataques anteriores y en el comportamiento conocido de los actores de amenazas, Detect para entornos Azure AD y Office 365 esperaría ver los siguientes tipos de detecciones.
- Intento de fuerza bruta en Azure AD
- Inicio de sesión sospechoso en Azure AD
- Azure AD MFA-Falló el inicio de sesión sospechoso
- Actividad sospechosa de inicio de sesión en O365 - Este paso del ataque puede ser a veces el más ruidoso, sin embargo, con una fuerza de trabajo remota, detectar esta actividad se convierte en algo que no es suficiente con una simple búsqueda en el registro. Detect for Cloud producirá detecciones como las enumeradas anteriormente para ayudar a los analistas a encontrar la actividad.
- Cambio de Azure AD a la configuración de IP de confianza
- Operación sospechosa de Azure AD
- Aplicación de equipos sospechosos de O365: las aplicaciones y los principales de servicio que poseen valiosos derechos de acceso se modifican con secretos adicionales, creando esencialmente una "puerta trasera" que los atacantes utilizan para realizar acciones privilegiadas en nombre de esas aplicaciones.
- Azure AD Cuenta de administrador recién creada
- Creación de acceso redundante a Azure AD
- Operación sospechosa de Azure AD
- Uso inusual del motor de scripting de Azure AD
- Spear phishing interno de O365
- Regla de transporte de intercambio sospechoso de O365
- Reenvío de correo sospechoso de O365
- Manipulación sospechosa del buzón de correo de O365: hay muchas formas de obtener persistencia en un entorno cloud . Muchas de las detecciones de Detect for Cloud están diseñadas para encontrar actividades que van desde la creación de cuentas en Azure AD hasta la instalación de reglas de transporte, que pueden redirigir el correo electrónico o, en ataques anteriores, se han utilizado como implante de comando y control.
- Operación de intercambio arriesgada en O365
- Actividad de descargas sospechosas en O365
- Reenvío de correo sospechoso de O365
- Manipulación sospechosa del buzón de O365
- Actividad de compartición sospechosa de O365: durante esta etapa, junto con la apertura de los derechos de compartición a destinos no locales, se modifican los permisos del buzón de correo del objetivo para dar a otro usuario (controlado por el atacante) acceso de lectura al correo electrónico del objetivo, seguido de la exfiltración periódica de correo electrónico.
Por último, estas TTP, tal y como las describe MITRE ATT&CK , se han asociado históricamente con los actores estatales rusos y se han actualizado para incluir los ataques destructivos más recientes: