NOBELIUM APT Ataca Cadeia de Suprimentos de TI Global para Espionar Clientes Abaixo na Cadeia
Índice:
Infame grupo APT Nobelium ataca novamente! Desta vez, o ameaçador agente patrocinado pela Rússia mira provedores de serviços de tecnologia em escala global para espionar seus clientes a jusante. Hackers alvejaram pelo menos 140 organizações de serviços de TI desde maio de 2021, com 14 delas sendo comprometidas com sucesso.
Grupo APT NOBELIUM
Acredita-se que o grupo APT NOBELIUM (APT29, CozyBear e The Dukes) seja uma divisão de hackers secreta do Serviço de Inteligência Estrangeira Russo (SVR). É um jogador relativamente novo no campo das ameaças cibernéticas, com os primeiros sinais da atividade do APT rastreados até o final de 2019. Desde então, o NOBELIUM conquistou uma reputação de coletivo de hackers altamente sofisticado, aproveitando um lote impressionante de amostras de malware personalizadas para realizar intrusões inovadoras.
Inicialmente, o NOBELIUM ganhou destaque após o governo dos EUA acusar o grupo de estar por trás do ataque à cadeia de suprimentos da SolarWinds que resultou no comprometimento de várias agências governamentais dos EUA. O NOBELIUM implantou variantes maliciosas nos sistemas de alvos de alto perfil, como o Departamento de Segurança Interna (DHS), a Agência de Cibersegurança e Segurança de Infraestrutura (CISA) e o Tesouro dos EUA, para coletar dados de vigilância e obter acesso de porta dos fundos persistente à infraestrutura.
Analistas de segurança da Microsoft assumem que o NOBELIUM está constantemente elevando o nível no escopo e na sofisticação das ações maliciosas do APT. A partir do início de 2021, o agente ameaçador adicionou várias novas amostras maliciosas ao kit de ferramentas, incluindo Sunburst, Sunspot, Teardrop, Goldmax, Sibot e GoldFinder. Em maio de 2021, o grupo lançou uma massiva campanha de spear-phishing que se passou pela USAID para alvejar ativos governamentais de 24 países. E entre 1 de julho e 19 de outubro deste ano, a Microsoft estima mais de 22.868 tentativas de hacking contra 609 fornecedores.
Ataques do NOBELIUM à Cadeia de Suprimentos de TI Global
A nova campanha, descoberta pela Microsoft em outubro de 2021, compartilha todos os atributos típicos das táticas do NOBELIUM. Para alcançar alvos de alto perfil e manter o acesso aos sistemas de interesse, os agentes patrocinados pelo Estado concentraram seus esforços em provedores de serviços de tecnologia.
O NOBELIUM realizou intrusões semelhantes ao incidente da SolarWinds, penetrando nas contas privilegiadas de provedores de serviços de tecnologia para se mover lateralmente nos ambientes de nuvem e espionar os clientes a jusante. A maioria das intrusões não se baseou em falhas de segurança, mas sim em ferramentas e técnicas sofisticadas, incluindo pulverização de senha, roubo de token, ataques à cadeia de suprimentos, abuso de API e spear phishing.
A campanha mostrou que o NOBELIUM tenta estabelecer um canal de vigilância persistente, permitindo que adversários espionem alvos de interesse para o governo russo. Felizmente, a campanha foi descoberta em seus estágios iniciais, para que os provedores de serviços de TI possam proteger seus sistemas contra ataques maliciosos do NOBELIUM.
A Microsoft notificou todas as organizações afetadas e emitiu um aviso técnico para delinear as táticas e técnicas do NOBELIUM.
Detecção de Ataques APT do NOBELIUM
Para proteger a infraestrutura da sua empresa contra ataques do NOBELIUM, você pode baixar um conjunto de regras Sigma desenvolvidas pela equipe do SOC Prime.
Execução de Comando em VM do Azure (via azureactivity)
A detecção possui traduções para as seguintes plataformas de SIEM de ANALÍTICA DE SEGURANÇA: Azure Sentinel, ELK Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys.
A regra está mapeada para a metodologia MITRE ATT&CK abordando as táticas de Execução, Evasão de Defesa, Persistência, Escalação de Privilégios e Acesso Inicial. Particularmente, a detecção aborda as técnicas de Comando e Interprete de Script (t1059), bem como Contas Válidas (t1078).
Atualização de Credenciais de Conta de Principal de Serviço (via azuread)
A detecção possui traduções para as seguintes plataformas de SIEM de ANALÍTICA DE SEGURANÇA: Azure Sentinel, ELK Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys.
A regra está mapeada para a metodologia MITRE ATT&CK abordando as táticas de Persistência. Em particular, a detecção aborda a sub-técnica de Credenciais Adicionais na Nuvem (t1098.001) da técnica de Manipulação de Conta (t1098).
Ins de Usuário Não Interativo (via azuread)
A detecção possui traduções para as seguintes plataformas de SIEM de ANALÍTICA DE SEGURANÇA: Azure Sentinel, ELK Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys.
A regra está mapeada para a metodologia MITRE ATT&CK abordando as táticas de Persistência e a técnica de Manipulação de Conta (t1098).
Siga este link para encontrar mais regras de detecção que cobrem a atividade maliciosa do APT Nobelium.
Explore a plataforma de Detecção como Código da SOC Prime para defender-se contra ataques de forma mais rápida e eficiente do que nunca. Cace instantaneamente as ameaças mais recentes dentro de mais de 20 tecnologias SIEM XDR suportadas, aumente a conscientização sobre todos os ataques mais recentes no contexto das vulnerabilidades exploradas e da matriz MITRE ATT&CK, e streamline suas operações de segurança, enquanto obtém feedback anonimizado da comunidade global de cibersegurança. Entusiasmado para criar seu próprio conteúdo de detecção e ganhar dinheiro com sua contribuição? Junte-se ao nosso Programa de Recompensa de Ameaças!
