Incluyen el robo de datos relevantes para los intereses rusos
Nobelium, el actor de amenazas atribuido al masivo ataque de la cadena de suministro de SolarWinds, se ha vinculado una vez más a una serie de ataques dirigidos a múltiples proveedores de soluciones en la nube, servicios y empresas de revendedores, a medida que el grupo de piratas informáticos continúa refinando y reestructurando sus tácticas a un ritmo alarmante en respuesta a las revelaciones públicas.
Las intrusiones, que están siendo rastreadas por Mandiant en dos grupos de actividades diferentes UNC3004 y UNC2652, están asociadas con UNC2452, un grupo de amenazas no categorizado que desde entonces ha estado vinculado al servicio de inteligencia ruso. Se ha observado que UNC2652, en particular, apunta a entidades diplomáticas con correos electrónicos de phishing que contienen archivos adjuntos HTML con JavaScript malicioso, lo que finalmente arroja un Cobalt Strike Beacon en los dispositivos infectados.
"En la mayoría de los casos, la actividad posterior al compromiso incluyó el robo de datos relevantes para los intereses rusos", dijeron en un nuevo informe los investigadores de Mandiant, Luke Jenkins, Sarah Hawley, Parnian Najafi y Doug Bienstock. "En algunos casos, el robo de datos parece obtenerse principalmente para crear nuevas rutas para acceder a otros entornos de víctimas".
Las revelaciones se producen exactamente un año después de que surgieran los detalles de una campaña de piratería respaldada por el Kremlin que violó los servidores del proveedor de administración de red SolarWinds para distribuir binarios de software corruptos a varios clientes de alto perfil, incluidas nueve agencias federales de EE. UU.
En todo caso, el desarrollo es otro indicio de la capacidad del actor de la amenaza para "innovar e identificar nuevas técnicas y habilidades comerciales para mantener el acceso persistente a los entornos de las víctimas, obstaculizar la detección y confundir los esfuerzos de atribución", al mismo tiempo que destaca la "eficacia de aprovechar las relaciones con terceros y proveedores de confianza para llevar a cabo operaciones nefastas".
Microsoft había denominado anteriormente a Nobelium como "operadores hábiles y metódicos que siguen las mejores prácticas de seguridad de operaciones (OpSec)".
Desde que salió a la luz el incidente de SolarWinds, el grupo de APT (amenaza persistente avanzada) ha estado conectado a una serie de ataques dirigidos a grupos de expertos, empresas y entidades gubernamentales de todo el mundo, incluso cuando ha utilizado una caja de herramientas de malware en constante expansión con el objetivo de establecer un punto de apoyo en el sistema atacado y descargar otros componentes maliciosos.
A fines de octubre de 2021, Microsoft puso fin a una campaña de intrusión que comprometió hasta 14 clientes intermedios de múltiples proveedores de servicios en la nube (CSP), proveedores de servicios administrados (MSP) y otras organizaciones de servicios de TI. Los ataques de envenenamiento funcionaron al irrumpir en los proveedores de servicios, y posteriormente utilizaron el acceso privilegiado y las credenciales que pertenecen a estos proveedores para atacar a una amplia gama de organizaciones que dependían de los CSP.
Seguridad operativa y tecnología avanzada de primer nivel
Algunas de las otras técnicas incorporadas por el grupo en su libro de jugadas implican el uso de credenciales potencialmente obtenidas de una campaña de malware de robo de información organizada por un actor externo para obtener acceso inicial a las organizaciones, una cadena de infección que provocó que las estaciones de trabajo de las víctimas se infectaran con el malware CryptBot después de navegar en sitios web de baja reputación que ofrecían software descifrado, corroborando un informe similar de Red Canary publicado la semana pasada.
También empleada por Nobelium es una nueva herramienta llamada Ceeloader, un descargador a medida que está diseñado para descifrar una carga útil de shellcode para ejecutar en la memoria en el sistema comprometido, así como el abuso de notificaciones push en teléfonos inteligentes para eludir las protecciones de autenticación multifactor (MFA).
"En estos casos, el actor de la amenaza tenía una combinación válida de nombre de usuario y contraseña", dijo el investigador. "Muchos proveedores de MFA permiten que los usuarios acepten una notificación de inserción de una aplicación de teléfono o que reciban una llamada telefónica y presionen una tecla como segundo factor. El actor de la amenaza se aprovechó de esto y emitió múltiples solicitudes de MFA al dispositivo legítimo del usuario final hasta que el usuario aceptó la autenticación, lo que le permitió al actor de la amenaza obtener finalmente acceso a la cuenta".
Las tácticas destacadas incluyen:
• Comprometer varias cuentas dentro de un entorno y usar cada una de esas cuentas para diferentes funciones para limitar la exposición,
• Usando una combinación de Tor, servidores privados virtuales (VPS) y redes privadas virtuales públicas (VPN) para acceder a los entornos de las víctimas,
• Alojar cargas útiles de segunda etapa como blobs cifrados en sitios web legítimos que ejecutan WordPress, y
• Uso de rangos de direcciones IP residenciales para autenticarse en entornos de víctimas.
"Esta actividad de intrusión refleja un conjunto de actores de amenazas con recursos suficientes que opera con un alto nivel de preocupación por la seguridad operativa", dijeron los investigadores. "El abuso de un tercero, en este caso un CSP, puede facilitar el acceso a una amplia gama de víctimas potenciales a través de un único compromiso".
