Adversarios Respaldados por Rusia Están Apuntando a Contratistas del Gobierno de EE. UU.: Advertencia de CISA
Tabla de contenidos:
El 16 de febrero de 2022, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) divulgó la última información de inteligencia sobre los ciberataques vinculados a Rusia a los Contratistas de Defensa Autorizados (CDC) de EE. UU. que han estado en operación durante al menos dos años. Los CDC objetivos tenían acceso a una variedad de fuentes de datos sensibles, incluyendo desarrollo de armas, datos de vigilancia, líneas de comunicación y especificaciones de software. Las víctimas conocidas incluyen al Ejército de EE. UU., la Fuerza Aérea de EE. UU., la Marina de EE. UU., la Fuerza Espacial de EE. UU., y los programas del Departamento de Defensa e Inteligencia.
El FBI, CISA y NSA enfatizan la importancia de proteger las Redes de Contratistas de Defensa Autorizados contra posibles ciberataques rusos. Hemos reunido el contenido de detección más reciente disponible en la plataforma de SOC Prime ahora mismo para que puedas asegurar la mitigación oportuna de los ataques mencionados en tu organización.
Campaña de Ciberespionaje Vinculada a Rusia: Perspectivas y Riesgos
Según CISA, el objetivo principal de la actividad cibernética maliciosa patrocinada por el estado ruso es acceder a los planes y prioridades militares del gobierno de EE. UU. Como resultado, pueden mejorar sus propios esfuerzos de desarrollo tecnológico o incluso intentar reclutar a las víctimas que atacan.
El acceso persistente alegado a multitud de redes de CDC se ha mantenido desde al menos enero de 2020, con exfiltraciones regulares de datos sensibles de documentación y correos electrónicos. La suite de servicios Microsoft 365 es el objetivo más frecuente. Los adversarios explotan mayormente las vulnerabilidades conocidas para aprovechar la recolección de credenciales, ataques de fuerza bruta y phishing dirigido. Aunque los TTP aplicados por los atacantes no son infrecuentes, el hecho alarmante es que los hackers utilizan una amplia variedad de cepas de malware que solo pueden ser identificadas desplegando continuamente las últimas reglas de detección.
Las agencias gubernamentales de EE. UU. suponen que los actores de amenazas patrocinados por el estado ruso continuarán sus intentos de intrusión para atacar las Redes de Contratistas de Defensa en un futuro próximo. Por lo tanto, se aconseja que los CDC apliquen las medidas de ciberdefensa más avanzadas para soportar el posible ataque en curso así como futuros intentos.
Detecta y Mitiga Potenciales Ciberataques Rusos
Para detectar la actividad maliciosa asociada con los actores patrocinados por el estado ruso e incrementar la conciencia sobre amenazas potenciales, puedes aprovechar el contenido de detección curado ya disponible en la plataforma de SOC Prime. La tabla a continuación (proporcionada por CISA) lista tácticas, técnicas y procedimientos comunes (TTP) utilizados por actores respaldados por la nación rusa durante los ataques contra contratistas de EE. UU. y ofrece un conjunto de reglas Sigma que abordan los TTP del adversario.
Tactic | Technique | Procedure | Detection Content from SOC Prime’s Platform |
Reconnaissance (TA0043) Credential Access (TA0006) | Gather Victim Identity Information: Credentials (T1589.001) Brute Force (T1110) | Adversaries have applied brute force to identify legitimate account credentials for domain and Microsoft 365 accounts. Compromised credentials have enabled threat actors to get initial access to target networks. | |
Initial Access (TA0001) | External Remote Services (T1133) | Multiple nation-state APT groups have scanned for vulnerabilities in Fortinet’s Fortigate® VPN devices, conducting brute force attacks and weaponizing CVE-2018-13379 to receive credentials and gain access to compromised networks. | |
Initial Access (TA0001) Privilege Escalation (TA0004) | Valid Accounts (T1078) Exploit Public-Facing Application (T1190) | Attackers have taken advantage of identified account credentials and exploited vulnerabilities (CVE-2020-0688 and CVE-2020-17144) on VPNs and Microsoft Exchange servers to gain remote code execution and acquire further network access. | |
Initial Access (TA0001)
| Phishing: Spearphishing Link (T1566.002) Obfuscated Files or Information (T1027) | Cybercriminals have conducted targeted spear-phishing email campaigns through publicly accessible URL shortening tools. Leveraging this common obfuscation technique enabled threat actors to bypass malware and spam scanning tools while encouraging users to click the shortened link. | |
Initial Access (TA0001)
| OS Credential Dumping: NTDS (T1003.003) Valid Accounts: Domain Accounts (T1078.002) | Nation-state cybercriminals have obtained or abused credentials to access the targeted VPN server and obtain privileged access to the domain controller. Once compromised, threat actors may attempt to dump credentials from the targeted domain controller and make a copy of the Active Directory domain database leveraging the NTDS file (NTDS.dit). | |
Initial Access (TA0001) Privilege Escalation (TA0004) Collection (TA0009) | Valid Accounts: Cloud Accounts (T1078.004) Data from Information Repositories: SharePoint (T1213.002) | Adversaries have leveraged legitimate credentials of a global Microsoft 365 admin account to access the administrative portal and update permissions providing read access to all SharePoint pages within the tenant, as well as tenant user profiles and email inboxes. | |
Initial Access (TA0001) Collection (TA0009) | Valid Accounts: Domain Accounts (T1078.002) Email Collection (T1114) | For instance, in one of the cases, cybercriminals have applied valid credentials to exfiltrate mailboxes from the victims’ accounts. In another case, attackers have gained access to email credentials in order to collect sensitive data. | |
Persistence (TA0003) Lateral Movement (TA0008) | Valid Accounts (T1078) | Attackers have abused legitimate credentials to maintain persistent access to compromised accounts. Once some account passwords have been changed by the users, adversaries have pivoted across other accounts in the system to compromise them. | |
Discovery (TA0007) | File and Network Discovery (T1083) | Threat actors have accessed the targeted network and leveraged the BloodHound tool to map out relationships to the Active Directory domain. | |
Command and Control (TA0011) | Proxy: Multi-hop Proxy (T1090.003) | Attackers have applied multiple nodes to route traffic to the target. |
Únete a nuestra plataforma de Detección como Código de SOC Prime ahora mismo y beneficia de la colaboración mundial de profesionales de ciberseguridad para mantenerte a la vanguardia de amenazas emergentes constantemente. Si eres un desarrollador de contenido, aplica para unirte al Programa Threat Bounty de SOC Prime, envía tus reglas originales de Sigma y Yara, pasa la verificación de calidad para que tu contenido sea publicado a través de la plataforma de SOC Prime y recibe pagos recurrentes.
