Bl0ckch41nnewsDelincuentes utilizan Password Spray para acceder a empresas

Desde agosto de 2023, Microsoft ha observado una actividad de intrusión
dirigida y que roba con éxito las credenciales de varios clientes de
Microsoft, que se habilita mediante ataques de
password spray (rociado de contraseñas) altamente evasivos.

Microsoft ha vinculado
la fuente de estos ataques a una red de dispositivos comprometidos que
rastrearon como CovertNetwork-1658, también conocida como xlogin y
Quad7 (7777). Microsoft evalúa que las credenciales adquiridas a partir de las
operaciones de rociado son utilizadas por varios actores de amenazas chinos.

En particular, el actor de amenazas chino Storm-0940 usa credenciales de
CovertNetwork-1658. Activo desde al menos 2021, Storm-0940 obtiene acceso
inicial a través de rociado de contraseñas y ataques de fuerza bruta, o
explotando o haciendo un mal uso de las aplicaciones y servicios de borde de
la red. Se sabe que Storm-0940 ataca a organizaciones en América del Norte y
Europa, incluidos centros de estudios, organizaciones gubernamentales y no
gubernamentales, bufetes de abogados, bases industriales de defensa y otros.

Al igual que con cualquier actividad de un actor de amenaza de un estado
nacional observada, Microsoft ha notificado directamente a los clientes
afectados o comprometidos, proporcionándoles información importante necesaria
para ayudar a proteger sus entornos.

¿Qué es CovertNetwork-1658?

La empresa rastrea una red de enrutadores de pequeñas empresas comprometidos
como CovertNetwork-1658. Los routers fabricados por TP-Link conforman la mayor
parte de esta red. Microsoft utiliza «CovertNetwork» para referirse a
una colección de direcciones IP de salida que consisten en dispositivos
comprometidos o alquilados que pueden ser utilizados por uno o más actores de
amenazas.

CovertNetwork-1658 se refiere específicamente a una colección de direcciones
IP de salida que pueden ser utilizadas por uno o más actores de amenazas
chinos y está compuesta en su totalidad por dispositivos comprometidos.
Microsoft evalúa que un actor de amenazas ubicado en China estableció y
mantiene esta red y explota una vulnerabilidad en los enrutadores para obtener
la capacidad de ejecución remota de código. Luego, varios actores de amenazas
chinos utilizan las credenciales adquiridas para realizar actividades de
explotación de redes informáticas.

Actividad posterior al ataque en routers comprometidos

Después de obtener acceso con éxito a un router vulnerable, en algunos casos,
el actor de amenazas sigue los siguientes pasos para preparar el equipo para
operaciones de rociado de contraseñas:

• Descargar el binario Telnet desde un servidor FTP remoto.
• Descargar el binario xlogin backdoor desde un servidor FTP remoto
• Utilizar los binarios Telnet y xlogin descargados para iniciar una
  shell de comandos con control de acceso en el puerto TCP 7777.
• Conectarse y autenticarse en el backdoor xlogin que escucha en el
  puerto TCP 7777.
• Descargar un binario de servidor SOCKS5 al enrutador.
• Iniciar el servidor SOCKS5 en el puerto TCP 11288

Se observa que CovertNetwork-1658 lleva a cabo sus campañas de rociado de
contraseñas a través de esta red proxy para garantizar que los intentos se
originen en los dispositivos comprometidos.

Actividad de rociado de contraseñas desde la infraestructura de
CovertNetwork-1658

Microsoft ha observado múltiples campañas de rociado de contraseñas que se
originan en la infraestructura de CovertNetwork-1658. En estas campañas,
CovertNetwork-1658 envía una cantidad muy pequeña de intentos de inicio de
sesión a muchas cuentas en una organización de destino. En aproximadamente el
80 por ciento de los casos, CovertNetwork-1658 solo realiza un intento de
inicio de sesión por cuenta por día.

La infraestructura de CovertNetwork-1658 es difícil de monitorear debido a las
siguientes características:

• El uso de direcciones IP SOHO comprometidas
• El uso de un conjunto rotativo de direcciones IP en un momento dado. Los
  actores de amenazas tenían miles de direcciones IP disponibles a su
  disposición. El tiempo de actividad promedio de un nodo CovertNetwork-1658
  es de aproximadamente 90 días.
• El proceso de rociado de contraseñas de bajo volumen; por ejemplo, el
  monitoreo de múltiples intentos fallidos de inicio de sesión desde una
  dirección IP o una cuenta no detectará esta actividad
• Varios proveedores de seguridad han informado sobre las actividades de
  CovertNetwork-1658, incluidos
  Sekoia
  (julio de 2024) y
  Team Cymru
  (agosto de 2024).

Históricamente, Microsoft ha observado un promedio de 8.000 dispositivos
comprometidos que participan activamente en la red CovertNetwork-1658 en un
momento dado.
En promedio, alrededor del 20 por ciento de estos dispositivos realizan
rociado de contraseñas. Cualquier actor de amenazas que utilice la
infraestructura CovertNetwork-1658 podría realizar campañas de
spray a mayor escala y aumentar en gran medida la probabilidad de
compromiso exitoso de credenciales y acceso inicial a múltiples organizaciones
en un corto período de tiempo.

Actividad observada vinculada a Storm-0940

Se han observado numerosos casos en los que Storm-0940 ha obtenido acceso
inicial a organizaciones objetivo utilizando credenciales válidas obtenidas
a través de las operaciones de rociado de contraseñas de
CovertNetwork-1658.

Después de obtener acceso con éxito a un entorno víctima, en algunos casos, se
ha observado que Storm-0940:

• Utiliza herramientas de escaneo y volcado de credenciales para moverse
  lateralmente dentro de la red;
• Intenta acceder a dispositivos de red e instalar herramientas proxy y
  troyanos de acceso remoto (RAT) para la persistencia;
• Intenta exfiltrar datos.

Recomendaciones

Las organizaciones pueden defenderse contra la difusión de contraseñas
mediante la creación de una higiene de credenciales y el fortalecimiento de
las identidades en la nube. Microsoft recomienda las siguientes mitigaciones
para reducir el impacto de esta amenaza:

• Eduque a los usuarios sobre la importancia de la higiene de credenciales y
  evite la reutilización de contraseñas.
• Aplique la autenticación multifactor (MFA) en todas las cuentas; elimine a
  los usuarios excluidos de MFA y
  exija estrictamente MFA
  en todos los dispositivos, en todas las ubicaciones y en todo momento.
• Considere la posibilidad de realizar la transición a un método de
  autenticación principal sin contraseña, como Azure MFA, certificados o
  Windows Hello para empresas.
• Asegure los puntos de conexión del Protocolo de escritorio remoto (RDP) o de
  Windows Virtual Desktop con MFA para protegerse contra la difusión de
  contraseñas o los ataques de fuerza bruta.
• Habilite los
  métodos de autenticación sin contraseña
  (por ejemplo, Windows Hello, FIDO o Microsoft Authenticator) para las
  cuentas que admitan la autenticación sin contraseña. Para las cuentas que
  aún requieren contraseñas, use aplicaciones de autenticación como Microsoft
  Authenticator para MFA.
• Deshabilite la autenticación heredada.
• Utilice una solución de seguridad de identidad basada en la nube
  para identificar y detectar amenazas o identidades comprometidas.
• Desactive las cuentas obsoletas o sin uso.
• Restablezca las contraseñas de las cuentas que hayan sido blanco de un
  ataque de rociado de contraseñas. Si una cuenta objetivo tenía permisos a
  nivel de sistema, es posible que se justifique una
  investigación más exhaustiva.
• Implemente
  Azure Security Benchmark
  y las
  prácticas recomendadas generales para proteger la infraestructura de
  identidad, incluidas las siguientes:
• Cree
  políticas de acceso condicional
  para permitir o denegar el acceso al entorno según criterios definidos.
• Bloquee la
  autenticación heredada con Azure AD
  mediante el acceso condicional. Los protocolos de autenticación heredados
  no tienen la capacidad de aplicar MFA, por lo que bloquear dichos métodos
  de autenticación evitará que los atacantes que roban contraseñas
  aprovechen la falta de MFA en esos protocolos.
• Habilite el
  bloqueo de la extranet del proxy de aplicación web de AD FS
  para proteger a los usuarios de posibles ataques de fuerza bruta contra
  contraseñas.
• Proteja las cuentas con higiene de credenciales:
• Ponga en práctica el
  principio de privilegio mínimo
  y audite la actividad de las cuentas privilegiadas en sus entornos de
  Azure AD para ralentizar y detener a los atacantes.
• Implemente
  Azure AD Connect Health para ADFS. Esto captura los intentos fallidos, así como las direcciones IP
  registradas en los registros de ADFS para las solicitudes incorrectas a
  través del informe de IP riesgosas.
• Use la
  protección de contraseñas de Azure AD
  para detectar y bloquear las contraseñas débiles conocidas y sus
  variantes.
• Active la
  protección de identidad en Azure AD
  para supervisar los riesgos basados ​​en la identidad y crear políticas
  para los inicios de sesión riesgosos.
• Educa a los usuarios sobre los intentos de phishing y los ataques de fatiga
  de MFA. Anima a los usuarios a denunciar solicitudes de autenticación de MFA
  no solicitadas.
• Revisa tus
  políticas de detección de anomalías en Defender for Cloud Apps
  en Políticas de Microsoft 365 Defender.

Fuente:
Microsoft

Source link