La investigación de New Mandiant sobre el grupo de piratas informáticos ruso APT29 detrás del ataque SolarWinds de 2021 muestra que los atacantes están adoptando nuevas tácticas y continúan apuntando activamente a Microsoft 365.
También se ha observado que APT29 vuelve a apuntar a víctimas anteriores, en particular a aquellas con influencia o vínculos estrechos con países de la OTAN. Esto demuestra que los ciberdelincuentes son persistentes, agresivos y con mucha dedicación para desarrollar aún más sus habilidades técnicas.
Centrarse en la seguridad operativa
APT29 continúa demostrando una seguridad operativa excepcional y tácticas evasivas. Además de usar proxies en los hogares para ofuscar su acceso reciente a los entornos de las víctimas, Mandiant ha observado que APT29 recurre a Azure Virtual Machines. Las máquinas virtuales utilizadas por APT29 existen en suscripciones de Azure fuera de la organización de la víctima.
Mandiant no sabe si estas suscripciones fueron comprometidas o compradas por APT29. Obtener acceso a la última milla desde direcciones IP de confianza de Microsoft reduce la probabilidad de detección. Debido a que Microsoft 365 se ejecuta en Azure, el inicio de sesión de Azure AD y los registros de auditoría unificados ya contienen muchas direcciones IP de Microsoft, y puede ser difícil determinar rápidamente si una dirección IP está asociada con una VM malintencionada o pertenece a un servicio back-end de M365.
Perspectivas de la investigación de Mandiant
- Las nuevas tácticas incluyen deshabilitar Purview Audit en Microsoft. La licencia de auditoría de Purview es una fuente de registro importante para determinar si un ciberdelincuente está accediendo a un buzón de correo específico. Al obtener acceso y deshabilitar esa licencia, APT29 permite que el grupo borre esencialmente cualquier rastro de su presencia.
- Otra táctica es explotar el proceso de autorregistro para la autenticación multifactor (MFA) en Azure Active Directory. Después de que APT29 lanzó con éxito un ataque de adivinación de contraseñas contra una lista de buzones de correo, los piratas informáticos pudieron registrarse en MFA con una cuenta inactiva. Después de registrarse, APT29 pudo usar la cuenta para acceder a la infraestructura VPN de la empresa.
Mandiant ofrece el informe completo en su blog en inglés
Más en Mandiant.com
Sobre el cliente Mandiant es un líder reconocido en defensa cibernética dinámica, inteligencia de amenazas y respuesta a incidentes. Con décadas de experiencia en la primera línea cibernética, Mandiant ayuda a las organizaciones a defenderse de manera segura y proactiva contra las amenazas cibernéticas y responder a los ataques. Mandiant ahora es parte de Google Cloud.