I clienti di Vectra devono essere consapevoli che gli attuali eventi globali legati al riconoscimento russo delle regioni separatiste dell'Ucraina comportano il rischio di un aumento delle attività informatiche condotte da attori statali russi. Ciò include prove che l'FSB, la principale organizzazione di intelligence della Russia, sia responsabile del DDoS contro i sistemi ucraini nel febbraio 2022. [1] Esiste la preoccupazione che la selezione dei bersagli possa espandersi oltre gli obiettivi regionali per includere, ad esempio, obiettivi politicamente o economicamente utili nei Paesi della NATO.
Questo avviso è stato generato per comunicare in modo proattivo ai clienti che operano in settori o regioni a maggior rischio ed evidenziare le capacità di protezione che Vectra sta fornendo per gestire questi rischi.
Sebbene questo avviso sia di natura informativa, tutti i clienti che ritengono di essere stati attaccati sono invitati a contattarci immediatamente: siamo qui per aiutarli.
Protezione Vectra contro gli APT russi
Molti gruppi APT, indipendentemente dalla loro origine, seguono uno schema simile per gli attacchi. Pertanto, sulla base di precedenti attività di attori di livello statale, compresi quelli russi, i clienti di Vectra possono aspettarsi i seguenti tipi generali di attività se presi di mira:
- Obiettivo di compromesso
- Ricognizione della rete
- Stabilire un punto d'appoggio / persistenza
- Esfiltrazione dei dati
A tal fine, oltre alle informazioni sulle minacce applicabili, Vectra dovrebbe notificare agli utenti i seguenti rilevamenti:
Obiettivo di compromesso
- Tunnel HTTP(S) nascosto
- Tunnel DNS nascosto
- Accesso remoto esterno - Questi rilevamenti sono collegati ad attività note di attori di minacce avanzate che utilizzano impianti noti, come Cobalt Strike, e anche impianti personalizzati.
Ricognizione della rete
- Ricognizione RPC / Ricognizione mirata RPC
- Scansione della porta
- Scansione Darknet interna - Rilevamenti di questo tipo, abbinati alla categoria precedente, indicano un host che sta sorvegliando la rete. La ricognizione RPC e la ricognizione mirata indicano che un attore pericoloso potrebbe mappare obiettivi di alto valore con uno strumento come Bloodhound.
Stabilire un punto d'appoggio / persistenza
- Esecuzione remota sospetta (chiamate Schtask / WMI / RPC)
- Anomalia dei privilegi - Quando un aggressore tenta di utilizzare gli account rubati durante la fase iniziale dell'attacco, probabilmente cercherà di utilizzare servizi che l'account non ha mai usato prima. Ciò innesca un rilevamento di anomalia dei privilegi che mostra dove l'account, l'host o il servizio non rientrano nel comportamento appreso. Gli aggressori utilizzeranno anche i metodi e i canali di comunicazione esistenti per diffondere l'impianto ad altri host. Potrebbe non trattarsi dello stesso impianto iniziale: è noto che alcuni attori delle minacce rilasciano WebShell sugli host per accedervi anni dopo.
Esfiltrazione dei dati
- Contrabbandiere di dati
- Tunnel DNS nascosto - Questa fase finale è solitamente molto difficile da individuare. Gli attori russi delle minacce di alto livello, come Turla, si posizionano ai margini di una rete e rubano i dati quasi passivamente. Ciò è comune anche per le attività di threadjacking delle e-mail, in cui un aggressore si inserisce in una catena di e-mail per indurre gli obiettivi a cliccare su link, aprire documenti o interagire in un modo o nell'altro con attività dannose.
Microsoft365 e ambienti cloud
I precedenti attacchi degli attori statali russi hanno utilizzato l'ambiente online dell'obiettivo. Per ottenere l'accesso iniziale, l'aggressione può assumere la forma di acquisizione di account tramite brute forcing, spruzzamento di password (utilizzando VPN per assicurarsi che le protezioni predefinite non li blocchino), aggiramento dell'MFA o phishing; una volta stabilito un punto d'appoggio, l'aggressore può seguire molte strade per rubare informazioni e mantenere un punto d'appoggio.
Nel maggio 2021, attori statali russi noti come Nobelium hanno compromesso gli ambienti cloud di Microsoft al fine di compromettere le catene di approvvigionamento. Questi attacchi hanno seguito schemi che sono stati osservati anche in altre compromissioni da parte di attori statali in ambienti cloud , che seguono schemi simili ai seguenti:
- Abuso di ruoli privilegiati
- Abuso di applicazioni esistenti
- Ottenere la persistenza
- Esfiltrazione dei dati
A tal fine, Vectra dovrebbe notificare agli utenti i seguenti rilevamenti:
Abuso di ruoli privilegiati
- Tentativo di forza bruta su Azure AD
- Azure AD Suspicious Sign On
- Azure AD MFA - Accesso sospetto non riuscito
- Attività di accesso sospette a O365 - Questa fase dell'attacco può talvolta essere la più rumorosa, tuttavia con una forza lavoro remota, il rilevamento di questa attività diventa qualcosa che la semplice ricerca nei registri non è sufficiente. Detect for Cloud produce rilevamenti come quelli elencati sopra per aiutare gli analisti a trovare l'attività.
Abuso di applicazioni esistenti
- Azure AD Modifica della configurazione dell'IP attendibile
- Funzionamento sospetto di Azure AD
- Applicazione O365 Suspicious Teams - Le applicazioni e i presidi di servizio che possiedono diritti di accesso importanti vengono modificati con segreti aggiuntivi, creando essenzialmente una "backdoor" che gli aggressori utilizzano per eseguire azioni privilegiate per conto di tali applicazioni.
Acquisire persistenza
- Account Admin di Azure AD appena creato
- Creazione di un accesso ridondante in Azure AD
- Funzionamento sospetto di Azure AD
- Motore di scripting insolito di Azure ADUsage
- Spearphishing interno a O365
- Regola di trasporto di O365 Exchange sospetta
- Inoltro della posta sospetta in O365
- O365 Suspicious MailboxManipulation - Esistono molti modi per ottenere la persistenza in un ambiente cloud . Molti rilevamenti in Detect for Cloud sono costruiti per trovare attività che vanno dalla creazione di account in Azure AD, all'installazione di regole di trasporto, che possono reindirizzare le e-mail o che in attacchi precedenti sono state utilizzate come impianto di comando e controllo[1].
Esfiltrazione dei dati
- Operazione di scambio rischiosa con O365
- Attività di download sospette di O365
- Inoltro della posta sospetta in O365
- Manipolazione della casella di posta sospetta in O365
- Attività di condivisione sospetta di O365 - In questa fase, oltre all'apertura dei diritti di condivisione a destinazioni non locali, le autorizzazioni della casella di posta elettronica dell'obiettivo vengono modificate per consentire a un altro utente (controllato dall'aggressore) di accedere in lettura alla posta elettronica dell'obiettivo, seguito da un'esfiltrazione periodica della posta elettronica.
Questo elenco non è completo di tutti gli attacchi attesi in un attacco cloud , poiché gli aggressori utilizzano una gamma diversificata di tattiche nell'ambiente ricco di obiettivi del cloud. I prossimi blog di Vectra Security Research illustreranno altri comportamenti attesi, ottenuti grazie all'osservazione di attori russi di livello statale durante una compromissione attiva.
Cosa ci dice la storia
Gli attori delle minacce russe operano a tutti i livelli di complessità e strategia contro le organizzazioni, ad esempio non solo gli attacchi DDoS rappresentano una minaccia da parte di gruppi come l'FSB e altri, ma anche gruppi come Turla (Snake, Venomous Bear, Uroburous) operano ai margini di una rete, con tecniche e malware nuovi e altamente avanzati.
Esempi tangibili di recenti attività di attori statali russi includono gli attacchi SolarFlare / SUNBURST del 2020, in cui gli operatori statali russi Nobelium (Cozy Bear, APT29) hanno compromesso l'infrastruttura SolarWinds e i meccanismi di distribuzione del codice. Inoltre, questo gruppo ha compromesso l'infrastruttura o365 con approcci stealth molto bassi per compromettere grandi quantità di dati dei clienti con credenziali o365 rubate per spostarsi lateralmente e rimanere nascosti mentre rubavano dati, eseguivano ricognizioni e si preparavano per le fasi successive dell'attacco.
Tuttavia, non solo la Russia sarà coinvolta in attacchi informatici globali. Ad esempio, dopo l'annessione della Crimea nel 2014, molti attori delle minacce hanno usato l'evento come pretesto per inserire esche all'interno di documenti ed e-mail dannose per compromettere le organizzazioni per scopi del tutto estranei agli obiettivi dello Stato russo.
Il bilancio
Vectra protegge da tutti i livelli di minaccia, dagli attacchi di rete e dal traffico di Command and Control , fino all'acquisizione di account e all'attività dannosa di Microsoft Office 365. I clienti dei servizi di rilevamento e risposta gestiti di Vectra (Sidekick) sono ulteriormente protetti da Spot Priority, che significa che gli analisti di Vectra riceveranno immediatamente una notifica sugli host che mostrano attività legate agli attori russi delle minacce APT.
Inoltre, Vectra è dotato di Threat Intelligence integrata, il che significa che per qualsiasi host con rilevamenti, se c'è un comportamento verso l'infrastruttura dell'attaccante, un rilevamento che delinea l'attività verrà aggiunto al container dell'host.
Sebbene sia importante riconoscere l'aumento dei rischi legati a specifici attori delle minacce, Vectra cerca i comportamenti comuni a tutti gli attori delle minacce, il che significa che, indipendentemente dall'attaccante che prende di mira la vostra organizzazione, Vectra vi aiuterà a identificarlo ed eliminarlo rapidamente prima che il danno sia stato fatto.
--
[1] https://www.gov.uk/government/news/uk-assess-russian-involvement-in-cyber-attacks-on-ukraine
[2] https://www.welivesecurity.com/wp-content/uploads/2019/05/ESET-LightNeuron.pdf
[3] https://www.fireeye.com/content/dam/collateral/en/wp-m-unc2452.pdf - fonte non più disponibile
[5] https://www.crowdstrike.com/blog/observations-from-the-stellarparticle-campaign/