Adversários Patrocinados pela Rússia Estão Alvejando Contratantes do Governo dos EUA: Alerta da CISA
Índice:
Em 16 de fevereiro de 2022, a Agência de Segurança de Cibersegurança e Infraestrutura (CISA) divulgou a última informação de inteligência sobre ciberataques ligados à Rússia em Contratantes de Defesa Liberados (CDCs) dos EUA que estão em operação há pelo menos dois anos. Os CDCs visados tinham acesso a uma variedade de fontes de dados sensíveis, incluindo desenvolvimento de armas, dados de vigilância, linhas de comunicação e especificações de software. As vítimas conhecidas incluem o Exército dos EUA, Força Aérea dos EUA, Marinha dos EUA, Força Espacial dos EUA e programas do DoD e de Inteligência.
O FBI, a CISA e a NSA enfatizam a importância de proteger as Redes dos Contratantes de Defesa Liberados contra possíveis ciberataques russos. Reunimos o conteúdo de detecção mais recente disponível atualmente na plataforma da SOC Prime para que você possa garantir a mitigação oportuna dos ataques mencionados em sua organização.
Campanha de Ciberespionagem Ligada à Rússia: Percepções e Riscos
De acordo com a CISA, o objetivo principal da atividade cibernética maliciosa patrocinada pelo estado russo é obter acesso aos planos e prioridades militares do governo dos EUA. Como resultado, eles podem melhorar seus próprios esforços de desenvolvimento tecnológico ou até mesmo tentar recrutar as vítimas que eles miram.
O suposto acesso persistente a uma variedade de redes CDC tem sido mantido desde pelo menos janeiro de 2020, com exfiltração regular de dados sensíveis de documentação e e-mails. A suíte de serviços Microsoft 365 comumente utilizada tem sido o alvo mais frequente. Os adversários geralmente exploram as vulnerabilidades conhecidas para fomentar a colheita de credenciais, ataques de força bruta e spear phishing. Embora os TTPs aplicados pelos atacantes não sejam incomuns, o fato alarmante é que os hackers usam uma ampla variedade de cepas de malware que só podem ser identificadas com a implantação contínua das regras de detecção mais recentes.
As agências do governo dos EUA assumem que atores de ameaças patrocinadas pelo estado russo continuarão suas tentativas de intrusão para alvejar as Redes dos Contratantes de Defesa no futuro mais próximo. Portanto, é aconselhável que os CDCs apliquem as medidas de defesa cibernética mais avançadas para resistir ao ataque possivelmente em andamento, bem como a futuras tentativas.
Detectar e Mitigar Potenciais Ciberataques Russos
Para detectar a atividade maliciosa associada a atores patrocinados pelo estado russo e aumentar a consciência sobre potenciais ameaças, você pode aproveitar o conteúdo de detecção curado já disponível na plataforma da SOC Prime. A tabela abaixo (fornecida pela CISA) lista táticas, técnicas e procedimentos comuns (TTPs) usados por atores apoiados pela nação russa no decorrer de ataques contra contratantes dos EUA e oferece um lote de regras Sigma abordando os TTPs dos adversários.
Tactic | Technique | Procedure | Detection Content from SOC Prime’s Platform |
Reconnaissance (TA0043) Credential Access (TA0006) | Gather Victim Identity Information: Credentials (T1589.001) Brute Force (T1110) | Adversaries have applied brute force to identify legitimate account credentials for domain and Microsoft 365 accounts. Compromised credentials have enabled threat actors to get initial access to target networks. | |
Initial Access (TA0001) | External Remote Services (T1133) | Multiple nation-state APT groups have scanned for vulnerabilities in Fortinet’s Fortigate® VPN devices, conducting brute force attacks and weaponizing CVE-2018-13379 to receive credentials and gain access to compromised networks. | |
Initial Access (TA0001) Privilege Escalation (TA0004) | Valid Accounts (T1078) Exploit Public-Facing Application (T1190) | Attackers have taken advantage of identified account credentials and exploited vulnerabilities (CVE-2020-0688 and CVE-2020-17144) on VPNs and Microsoft Exchange servers to gain remote code execution and acquire further network access. | |
Initial Access (TA0001)
| Phishing: Spearphishing Link (T1566.002) Obfuscated Files or Information (T1027) | Cybercriminals have conducted targeted spear-phishing email campaigns through publicly accessible URL shortening tools. Leveraging this common obfuscation technique enabled threat actors to bypass malware and spam scanning tools while encouraging users to click the shortened link. | |
Initial Access (TA0001)
| OS Credential Dumping: NTDS (T1003.003) Valid Accounts: Domain Accounts (T1078.002) | Nation-state cybercriminals have obtained or abused credentials to access the targeted VPN server and obtain privileged access to the domain controller. Once compromised, threat actors may attempt to dump credentials from the targeted domain controller and make a copy of the Active Directory domain database leveraging the NTDS file (NTDS.dit). | |
Initial Access (TA0001) Privilege Escalation (TA0004) Collection (TA0009) | Valid Accounts: Cloud Accounts (T1078.004) Data from Information Repositories: SharePoint (T1213.002) | Adversaries have leveraged legitimate credentials of a global Microsoft 365 admin account to access the administrative portal and update permissions providing read access to all SharePoint pages within the tenant, as well as tenant user profiles and email inboxes. | |
Initial Access (TA0001) Collection (TA0009) | Valid Accounts: Domain Accounts (T1078.002) Email Collection (T1114) | For instance, in one of the cases, cybercriminals have applied valid credentials to exfiltrate mailboxes from the victims’ accounts. In another case, attackers have gained access to email credentials in order to collect sensitive data. | |
Persistence (TA0003) Lateral Movement (TA0008) | Valid Accounts (T1078) | Attackers have abused legitimate credentials to maintain persistent access to compromised accounts. Once some account passwords have been changed by the users, adversaries have pivoted across other accounts in the system to compromise them. | |
Discovery (TA0007) | File and Network Discovery (T1083) | Threat actors have accessed the targeted network and leveraged the BloodHound tool to map out relationships to the Active Directory domain. | |
Command and Control (TA0011) | Proxy: Multi-hop Proxy (T1090.003) | Attackers have applied multiple nodes to route traffic to the target. |
Junte-se à nossa plataforma Detecção como Código da SOC Prime agora mesmo e aproveite a colaboração mundial de profissionais de cibersegurança para se manter à frente de ameaças emergentes constantemente. Se você é um desenvolvedor de conteúdo, aplique para participar do Programa SOC Prime Threat Bounty, envie suas regras originais Sigma e Yara, passe pela checagem de qualidade para publicar seu conteúdo através da plataforma da SOC Prime e receba pagamentos recorrentes.
