O grupo Nobelium, grupo envolvido no caso SolarWinds, está replicando táticas de ataques anteriores à cadeia de suprimentos – supply chain attacks – com novas abordagens. Tais ataques tem ocorrido nos Estados Unidos e na Europa desde maio de 2021. Entre 1º de julho e 19 de outubro deste ano, a Microsoft informou a 609 clientes que eles haviam sido atacados 22.868 vezes pelo Nobelium e, em comparação, antes de 1º de julho de 2021, a Microsoft informou clientes sobre ataques de todos os APTs 20.500 vezes nos últimos três anos.
O objetivo dos ataques é obter acesso a clientes downstream de vários provedores de serviços em nuvem (CSP), provedores de serviços gerenciados (MSP) e outras organizações de serviços de TI que recebem privilégios administrativos ou acesso por outras organizações. Tal atividade vem sendo observada em organizações com sede nos Estados Unidos e em toda a Europa desde maio de 2021.
Novo tipo de ataque
Uma campanha recente do Nobelium contra essas organizações visava explorar as relações técnicas de confiança existentes entre empresas provedoras, governos e outras empresas clientes. Segundo a Microsoft, neste tipo de ataque, o Nobelium tem como alvo contas privilegiadas de provedores de serviço para mover-se lateralmente em ambientes de nuvem, aproveitando os relacionamentos confiáveis para obter acesso a clientes downstream e permitir outros ataques ou acessar sistemas direcionados.
Tais ataques não tem como objetivo explorar vulnerabilidades de segurança de um produto, mas faz parte do arsenal de técnicas e ferramentas utilizadas pelo grupo, que inclui malware sofisticado, sprays de senha , ataques à cadeia de suprimentos, roubo de token, abuso de API e spear phishing para comprometer contas de usuário e alavancar o acesso dessas contas. Esses ataques destacaram a necessidade de os administradores adotarem práticas rígidas de segurança de contas e tomarem medidas adicionais para proteger seus ambientes.
Nos ataques observados pela Microsoft, o Nobelium também tinha como alvos os clientes finais, uma vez que eles delegam direitos administrativos ao provedor que permitem que o provedor gerencie as múltiplas aplicações no ambiente do cliente como se eles fossem um administrador dentro da organização. Ao roubar credenciais e comprometer contas no nível do provedor de serviços, o Nobelium pode tirar proveito de vários potenciais vetores, como por exemplo, privilégios administrativos delegados (DAP) e, em seguida, aproveitar esse acesso para estender ataques downstream através de canais confiáveis, como VPNs ou soluções exclusivas provedor-cliente que permitem o acesso à rede.
Padrões de pós-exploração
Na campanha mais recente, a abordagem utilizada é comprometer um para comprometer muitos (compromise-one-to-compromise-many) explorando a cadeia de confiança dos prestadores de serviços para obter amplo acesso a vários serviços e aplicações de clientes para ataques subsequentes. Esses privilégios administrativos geralmente não são auditados para uso aprovado nem desabilitados por um provedor de serviços ou cliente depois que o uso termina, deixando-os ativos até serem removidos pelos administradores. Se o Nobelium comprometeu as contas vinculadas aos privilégios administrativos por meio de outros ataques de roubo de credenciais, esse acesso concede a atores como o Nobelium a persistência para campanhas em andamento.
Em um dos casos acompanhados durante esta campanha, o grupo foi observado encadeando artefatos e acesso por meio de quatro provedores distintos para atingir seu alvo final. O exemplo abaixo demonstra a amplitude de técnicas que o grupo utiliza para explorar e abusar das relações de confiança a fim de atingir o seu objetivo.
Acredita-se que as organizações, como provedores de serviços em nuvem e outras organizações de tecnologia que gerenciam serviços em nome de clientes downstream, serão de interesse contínuo dos agentes de ameaças e correm o risco de serem alvos por meio de uma variedade de métodos, desde acesso credencial a engenharia social direcionada por meio de processos e procedimentos comerciais legítimos.
Detecção e investigação por meio de consultas – Threat Hunting
Todas as Hunting Queries e meios de detecção em produtos Microsoft, entre eles, Azure Sentinel, Microsoft 365 Defender, Microsoft Cloud Application, Security Azure Defender, podem ser acessadas aqui.
Mitigação e remediação
Todo o processo de mitigação e remediação de ataques do grupo Nobelium recomendados pela Microsoft pode ser acessado neste link, porém, as recomendações gerais para as diversas categorias de serviços podem ser analisadas a seguir:
• Certificar-se de que a autenticação multifator (MFA) esteja em uso e que as políticas de acesso condicional sejam aplicadas;
• Habilitar a estrutura do Modelo de Aplicativo Seguro – SAMF;
• Revisar e auditar logs e configurações;
• Remover a conexão de privilégios administrativos delegados (DAP) quando não estiver em uso;
• Revisar, auditar e minimizar os privilégios de acesso e permissões delegadas.
Referências
- https://www.hackread.com/solarwinds-hackers-nobelium-hit-cloud-providers/
- https://www.microsoft.com/security/blog/2021/10/25/nobelium-targeting-delegated-administrative-privileges-to-facilitate-broader-attacks/
- https://blogs.microsoft.com/on-the-issues/2021/10/24/new-activity-from-russian-actor-nobelium/