Las agencias de ciberseguridad e inteligencia de las naciones de los Cinco Ojos han publicado un aviso conjunto que detalla la evolución de las tácticas del actor de amenazas patrocinado por el estado ruso conocido como APT29.
Se estima que el grupo de hackers, también conocido como BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard (anteriormente Nobelium) y The Dukes, está afiliado al Servicio de Inteligencia Exterior (SVR) de la Federación Rusa.
Anteriormente atribuido al compromiso de la cadena de suministro del software de SolarWinds, el grupo de ciberespionaje atrajo la atención en los últimos meses por apuntar a Microsoft, Hewlett Packard Enterprise (HPE) y otras organizaciones con el objetivo de promover sus objetivos estratégicos.
«A medida que las organizaciones continúan modernizando sus sistemas y se mueven a una infraestructura basada en la nube, el SVR se ha adaptado a estos cambios en el entorno operativo», según el boletín de seguridad.
Entre ellas se encuentran:
- Obtener acceso a la infraestructura en la nube a través de cuentas de servicio e inactivas mediante ataques de fuerza bruta y pulverización de contraseñas, alejándose de la explotación de vulnerabilidades de software en redes locales.
- Usar tokens para acceder a las cuentas de las víctimas sin necesidad de una contraseña
- Aprovechar las técnicas de pulverización de contraseñas y reutilización de credenciales para tomar el control de las cuentas personales, utilizar el bombardeo rápido para eludir los requisitos de autenticación multifactor (MFA) y, a continuación, registrar su propio dispositivo para obtener acceso a la red.
- Dificultar la distinción de las conexiones maliciosas de los usuarios típicos mediante el uso de proxies residenciales para hacer que el tráfico malicioso parezca que se origina en direcciones IP dentro de los rangos de proveedores de servicios de Internet (ISP) utilizados para clientes de banda ancha residencial y ocultar sus verdaderos orígenes.
«Para las organizaciones que se han trasladado a la infraestructura en la nube, la primera línea de defensa contra un actor como SVR debería ser protegerse contra los TTP de SVR para el acceso inicial», dijeron las agencias. «Una vez que el SVR obtiene acceso inicial, el actor es capaz de implementar capacidades altamente sofisticadas posteriores al compromiso, como MagicWeb«.
Fuente: https://thehackernews.com
