Membros da aliança de inteligência Five Eyes (FVEY) emitiram um alerta hoje, indicando que os hackers do APT29 estão direcionando seus ataques para os serviços em nuvem das suas vítimas.
O APT29, também conhecido como Cozy Bear, Midnight Blizzard e The Dukes, invadiu diversas agências federais dos EUA após o ataque à cadeia de suprimentos da SolarWinds, um plano que vinha sendo elaborado há mais de três anos.
Além disso, os hackers comprometeram contas do Microsoft 365 de várias entidades pertencentes a países membros da OTAN, visando obter dados relacionados à política externa de governos, embaixadas e altos funcionários, em uma série de ataques de phishing por toda a Europa.
Em janeiro, a Microsoft confirmou que um grupo de hackers associado ao Serviço de Inteligência Estrangeira da Rússia havia invadido as contas do Exchange Online de seus executivos e de usuários de outras organizações em novembro de 2023.
Hoje, um comunicado conjunto emitido pelo Centro Nacional de Segurança Cibernética do Reino Unido (NCSC), a NSA, CISA, o FBI e agências de segurança cibernética da Austrália, Canadá e Nova Zelândia alertou que o grupo russo está gradualmente mudando para ataques contra a infraestrutura em nuvem.
Segundo o comunicado, "À medida que as organizações continuam a modernizar seus sistemas e a migrar para a infraestrutura baseada em nuvem, o SVR se adaptou a essas mudanças no ambiente operacional. Eles têm que ir além dos meios tradicionais de acesso, como explorar vulnerabilidades de software em uma rede local, em vez disso, direcionar os próprios serviços em nuvem."
Os hackers do APT29 estão agora obtendo acesso aos ambientes em nuvem de suas metas usando credenciais de conta de serviço comprometidas em ataques de força bruta ou pulverização de senha, e também estão se aproveitando de contas inativas que nunca foram removidas após os usuários deixarem as organizações, possibilitando o acesso após redefinições de senha em todo o sistema.
Além disso, estão usando tokens de acesso roubados para sequestrar contas sem necessidade de credenciais, roteadores residenciais comprometidos para servir de proxy para suas atividades maliciosas, evitando a autenticação MFA e registrando seus próprios dispositivos como novos nos locatários de nuvem das vítimas.
Após a obtenção do acesso inicial, os hackers do SVR utilizam ferramentas sofisticadas, como o Malware MagicWeb, para evitar a detecção nas redes das vítimas, principalmente em organizações governamentais críticas na Europa, Estados Unidos e Ásia.
Os analistas de segurança são aconselhados a habilitar o MFA sempre que possível, usar senhas fortes, aplicar o princípio de menor privilégio para todas as contas do sistema e de serviço, criar contas de serviço canário para detectar violações mais rapidamente e reduzir a vida útil da sessão para evitar o uso de tokens de sessão roubados.
Também devem permitir apenas a inscrição de dispositivos autorizados e monitorar indicadores de comprometimento que gerem a menor quantidade possível de falsos positivos ao monitorar violações de segurança.
"Seguindo as medidas de mitigação descritas neste comunicado, as organizações estarão mais bem preparadas para se defender contra essa ameaça."
Via - Bleeping Computer
Comments