Hackers furtivos revierten las mitigaciones de defensa cuando se detectan

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un actor de amenazas motivado financieramente está pirateando proveedores de servicios de telecomunicaciones y empresas de subcontratación de procesos comerciales, revirtiendo activamente las mitigaciones defensivas aplicadas cuando se detecta la violación.

La campaña fue detectada por Crowdstrike, quien dice que los ataques comenzaron en junio de 2022 y aún continúan, y los investigadores de seguridad pudieron identificar cinco intrusiones distintas.

Los ataques se han atribuido con poca confianza a los piratas informáticos rastreados como 'Araña dispersa' ('Scattered Spider,' ), que demuestran persistencia en mantener el acceso, revertir las mitigaciones, evadir la detección y cambiar a otros objetivos válidos si se frustran.

El objetivo final de la campaña es violar los sistemas de redes de telecomunicaciones, acceder a la información de los suscriptores y realizar operaciones como el intercambio de tarjetas SIM.

Cinco eventos de intrusión atribuidos a Scattered Spider (Crowdstrike)
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Detalles de la campaña

Los actores de amenazas obtienen acceso inicial a las redes corporativas utilizando una variedad de tácticas de ingeniería social.

Estas tácticas incluyen llamar a los empleados y hacerse pasar por personal de TI para recopilar credenciales o usar Telegram y mensajes SMS para redirigir a los objetivos a sitios de phishing personalizados que presentan el logotipo de la empresa.

Si MFA protegía las cuentas de destino, los atacantes empleaban tácticas de fatiga de MFA de notificaciones automáticas o se dedicaban a la ingeniería social para obtener los códigos de las víctimas.

En un caso, los adversarios explotaron CVE-2021-35464, una falla en el servidor ForgeRock AM reparada en octubre de 2021, para ejecutar código y elevar sus privilegios en una instancia de AWS.

"Al aprovechar los roles de instancia de AWS para asumir o elevar los privilegios del usuario de Apache Tomcat, el adversario solicitaría y asumiría los permisos de un rol de instancia utilizando un token de AWS comprometido", explica Crowdstrike.

Comando Curl para escalamiento de privilegios en AWS utilizando la herramienta LinPEAS (Crowdstrike)
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una vez que los piratas informáticos obtienen acceso a un sistema, intentan agregar sus propios dispositivos a la lista de dispositivos MFA (autenticación multifactor) confiables utilizando la cuenta de usuario comprometida.

Crowdstrike notó que los piratas informáticos usaban las siguientes utilidades y herramientas de administración y monitoreo remoto (RMM) en sus campañas:

     AnyDesk
     BeAnywhere     
     Domotz
     DWservice
     No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
     No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
     Itarian Endpoint Manager
     No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
     Logmein
     ManageEngine
     N-capaz
     Pulseway
     Rport
     rsocx
     ScreenConnect
     SSH RevShell y tunelización RDP a través de SSH
     Teamviewer
     TrendMicro Basecamp
     Sorillus
     ZeroTier

Muchos de los anteriores son software legítimo que se encuentra comúnmente en redes corporativas y, por lo tanto, es poco probable que genere alertas sobre herramientas de seguridad.

En las intrusiones observadas por Crowdstrike, los adversarios fueron implacables en sus intentos de mantener el acceso a una red violada, incluso después de haber sido detectados.

"En múltiples investigaciones, CrowdStrike observó que el adversario se vuelve aún más activo, configurando mecanismos de persistencia adicionales, es decir, acceso VPN y/o múltiples herramientas RMM, si las medidas de mitigación se implementan lentamente", advirtió CrowdStrike.

"Y en múltiples instancias, el adversario revirtió algunas de las medidas de mitigación al volver a habilitar cuentas previamente desactivadas por la organización víctima".

En todas las intrusiones observadas por Crowdstrike, los adversarios utilizaron varias VPN e ISP para acceder al entorno de Google Workspace de la organización víctima.

Para moverse lateralmente, los actores de amenazas extrajeron varios tipos de información de reconocimiento, descargaron listas de usuarios de inquilinos violados, abusaron de WMI y realizaron túneles SSH y replicación de dominios.

Crowdstrike ha compartido una extensa lista de indicadores de compromiso (IoC) para esta actividad en la parte inferior del informe, que es vital que los defensores tengan en cuenta, ya que el actor de amenazas utiliza las mismas herramientas y direcciones IP en diferentes intrusiones.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta