Nobelium continua operando com técnicas avançadas
Hackers russos contornam 2FA irritando vítimas com notificações push repetidas
Nobelium, o grupo de espionagem cibernética russo que orquestrou o ataque à cadeia de abastecimento SolarWinds 2020, continuou a realizar novos ataques ao longo de 2021 e, de acordo com a empresa de segurança Mandiant, tem usado um truque inteligente para contornar a autenticação de dois fatores a fim de acessar algumas das contas de seus alvos.
A técnica, detalhada em um relatório publicado na segunda-feira, envolve o abuso do recurso de notificação por push de algumas contas online.
As notificações push 2FA (autenticação de dois fatores) ou MFA (autenticação multifator) são normalmente usadas como uma alternativa ao recebimento de códigos únicos por SMS ou e-mail e assumem a forma de um pop-up que aparece em um smartphone.
Quando um usuário faz login em uma conta com credenciais válidas, uma notificação push é exibida em seu smartphone, com detalhes sobre o tipo e endereço IP do dispositivo que tenta acessar a conta e pede permissão para permitir a operação.
As notificações push 2FA não são amplamente adotadas, mas são consideradas mais seguras do que e-mail ou SMS como um método 2FA porque os invasores precisariam de acesso físico ao smartphone da vítima para contorná-lo.
Mas na segunda-feira, os pesquisadores da Mandiant disseram que investigaram vários incidentes em que membros do Nobelium obtiveram acesso às credenciais de login válidas de um usuário e tentaram repetidamente fazer login na conta, disparando notificações push 2FA repetidas no dispositivo da vítima até que o alvo finalmente aceitasse o solicitar.
Não está claro se essas vítimas aceitaram a notificação push por acidente; porque eles pensaram que poderia ser um bug; ou por puro aborrecimento.
Como o Nobelium costuma usar proxies de IP na mesma área geográfica da vítima para evitar o acionamento do escrutínio de um alvo sobre solicitações de login de IPs estranhos, isso pode explicar por que algumas vítimas aceitaram o invasor em suas contas.
Nobelium continua operando com técnicas avançadas
Em suma, o relatório da Mandiant pinta a imagem de um ator de ameaça de ponta que continua a apresentar “segurança operacional de alto nível e habilidade comercial avançada” e certamente não será definido pelo hack SolarWinds como sua única operação bem-sucedida.
Entre as táticas e operações mais recentes do grupo, Mandiant também destacou:
- Intrusões e comprometimentos de vários provedores de nuvem, a partir de onde o grupo mudou para seus respectivos sistemas de clientes downstream.
- O uso de credenciais de login provavelmente adquiridas no mercado negro, dos operadores do infostealer CRYPTBOT.
- O uso de contas hackeadas com privilégios de representação de aplicativos [ 1 , 2 ] para coletar dados confidenciais de e-mail desde o primeiro trimestre de 2021.
- A extração de máquinas virtuais de redes comprometidas para determinar configurações de roteamento interno.
- O uso de uma nova cepa de malware chamada CEELOADER, como o ponto de entrada inicial e usada posteriormente para descartar novos binários de malware.
- O uso de intervalos de endereços IP residenciais para autenticação em ambientes de vítimas.
- O uso de servidores do Azure para coletar dados que estão geo-localizados na mesma zona de nuvem que a rede da vítima para evitar o acionamento de alertas de segurança.
- O uso de sites WordPress hackeados para armazenar malware.
- O uso extensivo de servidores Tor, VPNs e VPS para disfarçar sua localização real durante a realização de reconhecimentos e ataques.
- Tenta contornar ou excluir o registro do sistema dentro do ambiente da vítima.
Em abril deste ano, a Casa Branca vinculou formalmente o ator da ameaça Nobelium ao Serviço de Inteligência Estrangeiro Russo, também conhecido como SVR , a mesma agência que os especialistas em segurança acreditam estar por trás do ator da ameaça APT29 (Cozy Bear) .
Comentários
Postar um comentário