Gli attaccanti non entrano, ma accedono: Il punto cieco dell'MFA

Bollettino dei cyberattacchi: Gli attaccanti non entrano, ma accedono: Il punto cieco dell'MFA >

Vectra AI Giappone, ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icona dell'hamburger in alto
Icona dell'hamburger linea centrale
Icona dell'hamburger linea di fondo

Attacchi informatici russi: Cosa sappiamo finora

9 marzo 2022
Luke Richards
Threat Intelligence Lead
Attacchi informatici russi: Cosa sappiamo finora

Breve aggiornamento sulla nostra prospettiva: 9 marzo 2022

Mentre entriamo in una nuova fase dell'invasione dell'Ucraina e delle successive operazioni informatiche a cui abbiamo assistito, cosa dovete sapere?

La risposta più importante a questa domanda è che Vectra Security Research e Threat intel stanno lavorando duramente per garantire la migliore copertura per il rilevamento delle minacce quando si verificano a qualsiasi livello della rete e per fornire i mezzi per reagire in modo rapido ed efficace e bloccare gli attacchi prima che diventino il prossimo caso di studio di risposta agli incidenti.  

Sul terreno e sui media, la guerra si è spostata da una rapida espansione aggressiva in nuovi territori a una più accesa battaglia di parole. I leader mondiali si sono mossi per sanzionare ulteriormente e aumentare la loro presa sui miliardari e sui beni russi. La pressione sociale si fa sempre più forte affinché le aziende ritirino i loro prodotti dalla Russia, la guerra è diventata molto più piccola nella mente delle persone. Anche per quanto riguarda lo spionaggio informatico e le battaglie combattute sulle reti informatiche, le tattiche sono cambiate. Quando è iniziata la guerra di terra, si è cercato di interrompere le comunicazioni e le reti informatiche delle forze che si muovevano per difendere le posizioni. Il mondo ha assistito al dispiegamento di tre tipi di attacco discreti. In primo luogo, i sistemi ucraini sono stati oggetto di un attacco DDoS di massa, seguito dal noto malware HermeticWiper, utilizzato per distruggere i sistemi, e anche Microsoft ha visto il dispiegamento di un nuovo Trojan, FoxBlade.  

Il passaggio alle operazioni clandestine

Infine, dobbiamo ricordarci di non dedicare tutta la nostra attenzione agli attacchi d'oltreoceano: Mandiant ha recentemente prodotto un rapporto che illustra un attacco in corso da parte di APT41 che ha come obiettivo il governo degli Stati Uniti5. Questo attore statale cinese è stato descritto in modo dettagliato come un attore che ha utilizzato diversi tentativi per compromettere i propri obiettivi, che vanno dal proprio zero day in un'applicazione rivolta al Web, all'utilizzo delle vulnerabilità Log4J ben distribuite per raggiungere l'obiettivo. In questi casi, l'attore della minaccia ha distribuito il proprio malware sofisticato, utilizzando un comportamento tradizionale di tipo C2, e ha anche implementato la persistenza attraverso l'uso di tecniche di "dead drop" per aggiornare gli indirizzi IP C2.

E adesso?

Ancora una volta ci viene chiesto: "Se questo è un business come al solito, cosa dovremmo fare?  

Innanzitutto, dobbiamo rimanere vigili, poiché è stato dimostrato che mentre le attività che fanno notizia attireranno la nostra attenzione su quelle oltreoceano, dobbiamo anche tenere d'occhio ciò che sappiamo essere vero: I criminali coglieranno al volo l'opportunità di sfruttare un evento globale per diffondere le proprie malware, i sofisticati attori APT cercheranno di sfruttare la cortina di fumo creata dalle malware distruttive per infiltrarsi in obiettivi di interesse in una guerra di terra e, infine, solo perché questo sta accadendo all'estero, non dobbiamo perdere la concentrazione sulle nostre reti e sulla nostra sicurezza.  

--

[1] https://www.proofpoint.com/us/blog/threat-insight/asylum-ambuscade-state-actor-uses-compromised-private-ukrainian-military-emails

[ 2] https://twitter.com/dsszzi/status/1499740427783651336?s=20&t=fDgbTX1ydsnTRjocdQUopw

[3] https://malpedia.caad.fkie.fraunhofer.de/details/win.formbook

[4] https://www.vectra.ai/blog/customer-advisory-bulletin-mitigating-detecting-and-responding-to-russian-cyberactivity

Contenuto precedente: 2 marzo 2022

Una settimana fa abbiamo scritto di come gli attori statali della Russia e altri gruppi associati operano durante un attacco di sicurezza informatica o durante un conflitto terrestre in corso. Ripercorrendo gli ultimi sette giorni, vorremmo offrire una prospettiva aggiornata con uno sguardo nuovo a ciò che sappiamo su come operano gli attori delle minacce provenienti dalla Russia.

Inoltre, vorremmo richiamare l'attenzione sul fatto che Microsoft ha anche identificato un nuovo Trojan in grado di essere utilizzato come parte di un attacco DDoS, noto come FoxBlade.A!dha e il suo genitore dropper FoxBlade.B!dha. Questi sono stati identificati poco prima dei primi movimenti dell'esercito russo per impadronirsi del territorio in Ucraina, dimostrando quanto siano veramente unite le operazioni militari e informatiche russe.

Gli operatori di Malware si riverseranno sulla difesa russa

Come in ogni conflitto, ci sono sempre dei volontari e questa guerra ibrida terrestre/cinematografica non è diversa. Uno dei primi gruppi a giurare fedeltà alla Russia è stato il gruppo Conti / TrickBot, anche se da allora ha ammorbidito questa posizione. Questa banda è responsabile di alcune delle campagne ransomware più grandi e di maggior successo degli ultimi 5 anni. TrickBot e il suo ruolo nella distribuzione di IcedID, CobaltStrike e numerose campagne ransomware, è un nome che la maggior parte degli operatori del Blue Team conosce bene. A fine febbraio è stato reso noto che il progetto TrickBot è stato chiuso, infliggendo un duro colpo alla banda. Conti, tuttavia, ha prevalso, avendo recentemente preso il controllo del malware BazarBackdoor.

I clienti di Vectra devono cercare i rilevamenti di Vectra Threat Intel Match con l'attore della minaccia indicato come WIZARD SPIDER o WIZARDSPIDER, che è il nome interno del gruppo. BazarBackdoor, che viene rilasciata dal malware BazarLoader, comunica tramite HTTP e DNS ai domini [.]bazar; i clienti dovrebbero cercare i rilevamenti di Hidden HTTP Tunnel, Hidden HTTPS Tunnel e Hidden DNS Tunnel, poiché questi sono i metodi di comunicazione principali per la backdoor. Questi aiutano a correlare le potenziali infezioni.

La backdoor ha anche diversi componenti modulari, che possono eseguire comandi PowerShell sull'host infetto, quindi altri rilevamenti da tenere d'occhio includono l'Esecuzione remota sospetta che utilizza metodi WMI per eseguire comandi su altri host. Questo gruppo di minacce è anche noto per utilizzare Task Scheduler e SMB per diffondersi lateralmente, quindi cercate schtask come operazione nei rilevamenti di Esecuzione remota sospetta.

All'inizio della campagna di terra, due nuove famiglie di malware sono emerse nel conflitto sulla sicurezza delle informazioni, in particolare WhisperGate e Hermetic wiper. Entrambi sono tipi di malware distruttivi / Ransomware Lite, che distruggono i sistemi e talvolta chiedono un pagamento, ma non forniscono un'opzione di recupero. Al momento non ci sono IOC di rete da ricercare, ma Vectra è comunque in grado di individuare gli attacchi ransomware nel momento in cui si verificano, consentendo ai soccorritori di reagire rapidamente. Un esempio di ciò è visibile qui, in una recensione post incidente in cui un cliente ha fatto proprio questo utilizzando Cognito Detect. Il CTO di Vectra ha anche prodotto un post sul blog che parla dell'attuale ondata di ransomware.

I team di servizi e intelligence sulle minacce di Vectra stanno inoltre raccogliendo centinaia di indicatori e report per servire al meglio i nostri clienti. A tal fine, finora abbiamo pubblicato tre nuove ricerche salvate in Recall:

  • Cogntio - TTP - iSession - Indirizzi IP C2 hardcoded di Cyclops Blink: Questa ricerca salvata è progettata per trovare le comunicazioni con gli indirizzi IP C2 hardcoded del malware Cyclops Blink.
  • Cognito - TTP - File SMB - Nota di riscatto ed estensione nota di Lockbit
  • Cognito - TTP - File SMB - Lockbit Known Named Pipe: Queste due ricerche sono progettate per trovare l'attività di LockBit sulla rete cercando la comunicazione Named Piped utilizzata dal malware per rimanere nascosto. Inoltre, cercano di identificare il trasferimento di file potenzialmente dannosi.

Ulteriori informazioni e buone pratiche

Attualmente Vectra sta lavorando duramente per garantire la protezione di tutti i clienti. Se siete clienti Sidekick, il team di analisti sta fornendo una copertura diretta e collabora direttamente con l'intelligence sulle minacce di Vectra per fornire la migliore priorità e il miglior servizio possibile. Per la base clienti più ampia, l'intelligence sulle minacce di Vectra sta raccogliendo migliaia di indicatori e rapporti indipendenti per garantire la migliore copertura a tutti. Continuiamo inoltre a lavorare per confermare i comportamenti di operatori malware e attori di minacce noti e impegnati, per garantire che i rilevamenti siano in linea con il comportamento noto malware e attori di minacce.

I rilevamenti degni di nota a cui prestare sempre attenzione sono:

  • Tunnel nascosto [HTTP, HTTPS, DNS]: Questi rilevamenti individuano i comportamenti diCommand and Control malware .
  • Accesso remoto esterno: Anche in questo caso si trovano i canali di comando e controllo Malware più tradizionali.
  • Esecuzione remota sospetta: Molti attori delle minacce tenteranno di diffondersi lateralmente in un ambiente utilizzando i canali esistenti, rendendo questi rilevamenti più rilevanti in questo momento.
  • Rilevamenti di anomalie dei privilegi: Questi rilevamenti mostrano l'utilizzo di account sospetti. Molti attori delle minacce cercano account con alti livelli di privilegio in una rete per diffondere il loro malware o per interagire con obiettivi di alto valore come Active Directory.

Non ci sono ancora state segnalazioni di attacchi basati sul Cloud , ma è probabile che mentre si verificano questi attacchi distruttivi e rumorosi, si verifichino anche attacchi silenziosi che si concentrano sul cloud . Gli attori statali russi si stanno spostando verso il cloud per i loro attacchi. Nel febbraio 2022 il CISA ha pubblicato un rapporto in cui si afferma che gli aggressori sponsorizzati dallo Stato russo hanno violato l'infrastruttura cloud dei fornitori di servizi di difesa. Sulla base di ricerche su precedenti compromissioni e sul comportamento noto degli attori delle minacce, Detect per gli ambienti Azure AD e Office 365 prevede i seguenti tipi di rilevamenti.

  • Tentativo di forza bruta su Azure AD
  • Azure AD Suspicious Sign On
  • Azure AD MFA - Accesso sospetto non riuscito
  • Attività di accesso sospette a O365 - Questa fase dell'attacco a volte può essere la più rumorosa, tuttavia con una forza lavoro remota, il rilevamento di questa attività diventa qualcosa che la semplice ricerca nei registri non è sufficiente. Detect for Cloud produce rilevamenti come quelli elencati sopra per aiutare gli analisti a trovare l'attività.
  • Azure AD Modifica della configurazione dell'IP attendibile
  • Funzionamento sospetto di Azure AD
  • O365 Suspicious Teams Application - le applicazioni e i presidi di servizio che possiedono diritti di accesso importanti vengono modificati con segreti aggiuntivi, creando essenzialmente una "backdoor" che gli aggressori utilizzano per eseguire azioni privilegiate per conto di tali applicazioni.
  • Account amministratore Azure AD appena creato
  • Creazione di un accesso ridondante in Azure AD
  • Funzionamento sospetto di Azure AD
  • Utilizzo insolito del motore di scripting di Azure AD
  • Spear phishing interno a O365
  • Regola di trasporto dello scambio sospetto in O365
  • Inoltro della posta sospetta in O365
  • Manipolazione sospetta della casella di posta O365 - Esistono molti modi per ottenere la persistenza in un ambiente cloud . Molti dei rilevamenti di Detect for Cloud sono costruiti per trovare attività che vanno dalla creazione di account in Azure AD all'installazione di regole di trasporto, che possono reindirizzare le e-mail o che in attacchi precedenti sono state utilizzate come impianto di comando e controllo.
  • Operazione di scambio rischiosa con O365
  • Attività di download sospette di O365
  • Inoltro della posta sospetta in O365
  • Manipolazione della casella di posta sospetta in O365
  • Attività di condivisione sospetta di O365 - In questa fase, oltre all'apertura dei diritti di condivisione a destinazioni non locali, le autorizzazioni della casella di posta elettronica dell'obiettivo vengono modificate per consentire a un altro utente (controllato dall'aggressore) di accedere in lettura alla posta elettronica dell'obiettivo, seguito da un'esfiltrazione periodica della posta elettronica.

Infine, questi TTP delineati da MITRE ATT&CK sono stati storicamente associati agli attori statali russi e sono stati aggiornati per includere i più recenti attacchi wiper distruttivi:

DOMANDE FREQUENTI