DEV-0537 ator criminoso alvo de organizações para exfiltração de dados e destruição

Views: 627

Nas últimas semanas, as equipes de Segurança da Microsoft têm acompanhado ativamente uma campanha de engenharia social e extorsão em larga escala contra várias organizações, com algumas evidências de elementos destrutivos. À medida que esta campanha se acelerou, nossas equipes têm se concentrado em detecção, notificações de clientes, briefings de inteligência de ameaças e compartilhamento com nossos parceiros de colaboração do setor para entender as táticas e metas do ator. Ao longo do tempo, melhoramos nossa capacidade de rastrear esse ator e ajudamos os clientes a minimizar o impacto das invasões ativas e, em alguns casos, trabalhamos com organizações impactadas para impedir ataques antes de roubo de dados ou ações destrutivas. A Microsoft está comprometida em fornecer visibilidade sobre a atividade maliciosa que observamos e compartilhar insights e conhecimentos de táticas de ator que podem ser úteis para outras organizações se protegerem. Enquanto nossa investigação sobre os ataques mais recentes ainda está em andamento, continuaremos atualizando este blog quando tivermos mais para compartilhar.

A atividade que observamos foi atribuída a um grupo de ameaças que a Microsoft rastreia como DEV-0537, também conhecido como LAPSUS$. O DEV-0537 é conhecido por usar um modelo de extorsão e destruição puro sem implantar cargas de ransomware. O DEV-0537 começou a direcionar organizações no Reino Unido e na América do Sul, mas expandiu-se para alvos globais, incluindo organizações nos setores de governo, tecnologia, telecomunicações, mídia, varejo e saúde. O DEV-0537 também é conhecido por assumir contas de usuários individuais em exchanges de criptomoedas para drenar participações em criptomoedas.

Ao contrário da maioria dos grupos de atividade que ficam sob o radar, o DEV-0537 não parece cobrir seus rastros. Eles chegam ao ponto de anunciar seus ataques nas mídias sociais ou anunciar sua intenção de comprar credenciais de funcionários de organizações-alvo. O DEV-0537 também usa várias táticas que são menos usadas por outros atores de ameaças rastreados pela Microsoft. Suas táticas incluem engenharia social baseada em telefone; Troca de SIM para facilitar a aquisição de contas; acessar contas de e-mail pessoais de funcionários em organizações-alvo; pagar funcionários, fornecedores ou parceiros de negócios de organizações-alvo para acesso a credenciais e aprovação de autenticação multifatorial (MFA); e intrometendo-se nas chamadas de comunicação de crise em curso de seus alvos.

As táticas centradas na engenharia social e na identidade alavancadas pelo DEV-0537 exigem processos de detecção e resposta semelhantes aos programas de risco interno — mas também envolvem prazos curtos de resposta necessários para lidar com ameaças externas maliciosas. Neste blog, compilamos as táticas, técnicas e procedimentos (TTPs) que observamos em vários ataques e compromissos. Também fornecemos estratégias e recomendações de mitigação de riscos de linha de base para ajudar as organizações a endurecer a segurança de sua organização contra essa mistura única de tradecraft.

Análise

Os atores por trás do DEV-0537 concentraram seus esforços de engenharia social para reunir conhecimento sobre as operações de negócios de seu alvo. Essas informações incluem conhecimento íntimo sobre funcionários, estruturas de equipe, mesas de ajuda, fluxos de trabalho de resposta a crises e relacionamentos na cadeia de suprimentos. Exemplos dessas táticas de engenharia social incluem spaming um usuário-alvo com solicitações de autenticação multifatorial (MFA) e chamar o help desk da organização para redefinir as credenciais de um alvo.

O Microsoft Threat Intelligence Center (MSTIC) avalia que o objetivo do DEV-0537 é obter acesso elevado através de credenciais roubadas que permitem roubo de dados e ataques destrutivos contra uma organização alvo, muitas vezes resultando em extorsão. Táticas e objetivos indicam que este é um ator cibercriminoso motivado por roubo e destruição.

Embora os TTPs e a infraestrutura deste ator estejam constantemente mudando e evoluindo, as seguintes seções fornecem detalhes adicionais sobre o conjunto muito diversificado de TTPs que observamos que o DEV-0537 está usando.

Acesso inicial

O DEV-0537 usa uma variedade de métodos que são tipicamente focados em comprometer as identidades dos usuários para obter acesso inicial a uma organização, incluindo:

• Implantando o ladrão de senhas redline malicioso para obter senhas e tokens de sessão
• Comprando credenciais e tokens de sessão de fóruns subterrâneos criminais
• Pagar funcionários em organizações direcionadas (ou fornecedores/parceiros de negócios) para acesso a credenciais e aprovação do MFA
• Pesquisando repositórios de código público para obter credenciais expostas

Usando as credenciais e/ou tokens de sessão comprometidos, o DEV-0537 acessa sistemas e aplicativos voltados para a internet. Esses sistemas geralmente incluem rede virtual privada (VPN), protocolo de desktop remoto (RDP), infraestrutura virtual de desktop (VDI), incluindo Citrix ou provedores de identidade (incluindo o Azure Active Directory, Okta). Para organizações que usam a segurança do MFA, o DEV-0537 usou duas técnicas principais para satisfazer os requisitos do MFA — reprodução de token de sessão e uso de senhas roubadas para acionar solicitações de MFA de aprovação simples esperando que o usuário legítimo da conta comprometida eventualmente concorde com as solicitações e conceda a aprovação necessária.

Em alguns casos, o DEV-0537 primeiro teve como alvo e comprometeu as contas pessoais ou privadas de um indivíduo (não relacionadas ao trabalho) dando-lhes acesso a, em seguida, procurar credenciais adicionais que poderiam ser usadas para obter acesso a sistemas corporativos. Dado que os funcionários normalmente usam essas contas pessoais ou números de telefone celular como autenticação de segundo fator ou recuperação de senha, o grupo muitas vezes usaria esse acesso para redefinir senhas e completar as ações de recuperação de contas.

A Microsoft também encontrou casos em que o grupo obteve acesso com sucesso a organizações-alvo através de funcionários recrutados (ou funcionários de seus fornecedores ou parceiros de negócios). A DEV-0537 anunciou que queria comprar credenciais para seus alvos para atrair funcionários ou contratados a participar de sua operação. Por uma taxa, o cúmplice disposto deve fornecer suas credenciais e aprovar o prompt MFA ou fazer com que o usuário instale o AnyDesk ou outro software de gerenciamento remoto em uma estação de trabalho corporativa, permitindo que o ator assuma o controle de um sistema autenticado. Tal tática foi apenas uma das maneiras pelas quais o DEV-0537 se aproveitou do acesso à segurança e das relações comerciais que suas organizações-alvo têm com seus provedores de serviços e cadeias de suprimentos.

Em outra atividade observada, os atores do DEV-0537 realizaram um ataque de troca de SIM para acessar o número de telefone de um usuário antes de entrar na rede corporativa. Este método permite que os atores manuseiem as solicitações de autenticação por telefone que precisam para obter acesso a um alvo.

Uma vez que as credenciais ou acesso padrão do usuário foram obtidos, o DEV-0537 normalmente conectava um sistema à VPN de uma organização. Em alguns casos, para atender aos requisitos de acesso condicional, o DEV-0537 registrou ou aderiu ao sistema ao Azure Active Directory (Azure AD) da organização.

Escalada de reconhecimento e privilégio

Uma vez que o DEV-0537 obteve acesso à rede de destino usando a conta comprometida, eles usaram várias táticas para descobrir credenciais adicionais ou pontos de intrusão para estender seu acesso, incluindo:

• Explorando vulnerabilidades não reparadas em servidores internamente acessíveis, incluindo JIRA, Gitlab e Confluence
• Pesquisar repositórios de código e plataformas de colaboração para credenciais e segredos expostos

Eles têm sido consistentemente observados para usar o AD Explorer, uma ferramenta disponível publicamente, para enumerar todos os usuários e grupos na referida rede. Isso permite que eles entendam quais contas podem ter privilégios maiores. Eles então passaram a pesquisar plataformas de colaboração como SharePoint ou Confluence, soluções de rastreamento de problemas como JIRA, repositórios de código como GitLab e GitHub e canais de colaboração de organizações como Teams ou Slack para descobrir outras credenciais de conta de alto privilégio para acessar outras informações confidenciais.

O DEV-0537 também é conhecido por explorar vulnerabilidades em Confluência, JIRA e GitLab para a escalada de privilégios. O grupo comprometeu os servidores que executam esses aplicativos para obter as credenciais de uma conta privilegiada ou executar no contexto da referida conta e despejar credenciais a partir daí. O grupo usou ataques dcsync e Mimikatz para executar rotinas de escalada privilegiada. Uma vez obtido o acesso ao administrador de domínio ou seu equivalente, o grupo usou o utilitário ntdsutil incorporado para extrair o banco de dados AD.

Em alguns casos, o DEV-0537 até ligou para o help desk da organização e tentou convencer o pessoal de suporte a redefinir as credenciais de uma conta privilegiada. O grupo usou as informações coletadas anteriormente (por exemplo, fotos de perfil) e teve um chamador nativo-inglês falando com o pessoal do help desk para melhorar sua atração de engenharia social. As ações observadas incluíram o DEV-0537 respondendo a solicitações comuns de recuperação, como “primeira rua em que você morava” ou “nome de solteira da mãe” para convencer o pessoal do help desk de autenticidade. Uma vez que muitas organizações terceirizam seu suporte de help desk, essa tática tenta explorar essas relações da cadeia de suprimentos, especialmente quando as organizações dão ao pessoal do help desk a capacidade de elevar privilégios.

Exfiltração, destruição e extorsão

Com base em nossa observação, o DEV-0537 possui infraestrutura dedicada que opera em provedores conhecidos de servidor privado virtual (VPS) e aproveita o NordVPN para seus pontos de saída. O DEV-0537 está ciente de detecções como viagens impossíveis e, portanto, escolheu pontos de saída VPN que eram geograficamente semelhantes aos seus alvos. O DEV-0537 então baixou dados confidenciais da organização alvo para futura extorsão ou liberação pública para o sistema junto ao sistema de VPN e/ou Azure AD da organização.

O DEV-0537 tem sido observado aproveitando o acesso a ativos em nuvem para criar novas máquinas virtuais dentro do ambiente de nuvem do alvo, que eles usam como infraestrutura controlada por atores para realizar novos ataques em toda a organização-alvo.

Se eles conseguirem acesso privilegiado ao inquilino em nuvem de uma organização (AWS ou Azure), o DEV-0537 cria contas de administração globais nas instâncias de nuvem da organização, define um Escritório 365 a regra de transporte de e-mail do nível de inquilino para enviar todos os e-mails dentro e fora da organização para a conta recém-criada e, em seguida, remove todas as outras contas de administração global, de modo que apenas o ator tem o controle exclusivo dos recursos da nuvem, bloqueando efetivamente a organização de todo o acesso. Após a exfiltração, o DEV-0537 frequentemente exclui os sistemas e recursos do alvo. Observamos a exclusão de recursos tanto no local (por exemplo, VMware vSphere/ESXi) quanto na nuvem para desencadear o processo de resposta a incidentes e crises da organização.

O ator foi observado então se juntando às chamadas de comunicação de crise da organização e conselhos de discussão internas (Slack, Equipes, teleconferências e outros) para entender o fluxo de trabalho de resposta a incidentes e sua resposta correspondente. Avalia-se que isso fornece informações sobre o estado mental da vítima, seu conhecimento da intrusão e um local para iniciar demandas de extorsão. Notavelmente, o DEV-0537 tem sido observado unindo pontes de resposta a incidentes dentro de organizações direcionadas que respondem a ações destrutivas. Em alguns casos, o DEV-0537 extorquiu as vítimas para evitar a liberação de dados roubados, e em outros, nenhuma tentativa de extorsão foi feita e o DEV-0537 vazou publicamente os dados que roubaram.

Impacto

Os primeiros ataques observados pelo DEV-0537 tinham como alvo contas de criptomoedas que resultam em comprometimento e roubo de carteiras e fundos. À medida que expandiam seus ataques, os atores começaram a atacar organizações de telecomunicações, ensino superior e governo na América do Sul. Campanhas mais recentes se expandiram para incluir organizações globalmente abrangendo uma variedade de setores. Com base na atividade observada, esse grupo entende a natureza interconectada de identidades e relações de confiança nos ecossistemas tecnológicos modernos e tem como alvo as empresas de telecomunicações, tecnologia, serviços de TI e suporte – para alavancar seu acesso de uma organização para acessar as organizações parceiras ou fornecedoras. Também foram observados como alvos entidades governamentais, manufatura, ensino superior, energia, varejistas e saúde.

A Microsoft continuará monitorando as atividades do DEV-0537 e implementando proteções para nossos clientes. As detecções atuais e detecções avançadas em vigor em nossos produtos de segurança são detalhadas nas seguintes seções.

Ações de ator direcionadas à Microsoft

Nesta semana, o ator fez afirmações públicas de que havia obtido acesso à Microsoft e exfiltrado partes do código fonte. Nenhum código ou dados do cliente estava envolvido nas atividades observadas. Nossa investigação descobriu que uma única conta foi comprometida, concedendo acesso limitado. Nossas equipes de resposta à segurança cibernética rapidamente se engajaram para remediar a conta comprometida e evitar mais atividades. A Microsoft não conta com o sigilo do código como medida de segurança e a visualização do código fonte não leva à elevação do risco. As táticas DEV-0537 utilizadas nesta intrusão refletem as táticas e técnicas discutidas neste blog. Nossa equipe já estava investigando a conta comprometida com base na inteligência de ameaças quando o ator divulgou publicamente sua intrusão. Essa divulgação pública aumentou nossa ação permitindo que nossa equipe interviesse e interrompesse o ator no meio da operação, limitando o impacto mais amplo.

Recomendações

Fortalecer a implementação do MFA

A autenticação multifatorial (MFA) é uma das principais linhas de defesa contra o DEV-0537. Embora esse grupo tente identificar lacunas no MFA, ele continua sendo um pilar crítico na segurança da identidade para funcionários, fornecedores e outros funcionários. Veja as recomendações a seguir para implementar o MFA com mais segurança:

Fazer:

• Exija o Multifactor Authenticator para todos os usuários provenientes de todos os locais, incluindo ambientes confiáveis percebidos e toda a infraestrutura voltada para a Internet — mesmo aquelas provenientes de sistemas no local.
• Aproveite implementações mais seguras, como o FIDO Tokens ou o Microsoft Authenticator com correspondência de números. Evite métodos MFA baseados em telefonia para evitar riscos associados ao jacking sim.
• Use a Proteção de Senha do Azure para garantir que os usuários não estejam usando senhas facilmente adivinhadas. Nosso blog sobre ataques com spray de senha descreve recomendações adicionais.
• Aproveite métodos de autenticação sem senha, como o Windows Hello for Business, o Microsoft Authenticator ou os tokens FIDO para reduzir riscos e problemas de experiência do usuário associados a senhas.

Não:

• Use fatores MFA fracos, como mensagens de texto (suscetíveis à troca de SIM), aprovações de voz simples, impulso simples (em vez disso, use correspondência de números) ou endereços de e-mail secundários.
• Inclua exclusões baseadas em localização. As exclusões do MFA permitem que um ator com apenas um fator para um conjunto de identidades contorne os requisitos do MFA se eles puderem comprometer totalmente uma única identidade.
• Permitir o compartilhamento de fatores credenciais ou MFA entre os usuários.

Requerem pontos finais saudáveis e confiáveis

• Requerem dispositivos confiáveis, compatíveis e saudáveis para acesso aos recursos para evitar o roubo de dados.
• Acovi a proteção fornecida pela nuvem no Microsoft Defender Antivirus para cobrir ferramentas e técnicas de invasor em rápida evolução, bloquear novas e desconhecidas variantes de malware e melhorar as regras de redução da superfície de ataque e proteção contra adulteração.

Aproveite as opções modernas de autenticação para VPNs

A autenticação VPN deve aproveitar as opções modernas de autenticação, como OAuth ou SAML conectado ao Azure AD para permitir a detecção de login baseada em riscos. A autenticação moderna permite bloquear tentativas de autenticação com base no risco de login, exigindo dispositivos compatíveis para login e integração mais rigorosa com sua pilha de autenticação para fornecer detecções de risco mais precisas. A implementação de políticas modernas de autenticação e acesso condicional apertadas na VPN tem se mostrado eficaz em relação às táticas de acesso do DEV-0537.

Fortaleça e monitore sua postura de segurança na nuvem

O DEV-0537 utiliza credenciais legítimas para executar ações maliciosas contra clientes. Como essas credenciais são legítimas, algumas atividades realizadas podem parecer consistentes com o comportamento padrão do usuário. Use as seguintes recomendações para melhorar sua postura de segurança na nuvem:

• Revise suas configurações de risco de usuário e sessão de acesso condicional:
  • Bloquear ou forçar a redefinição de senha para alto/médio risco de usuário para todos os usuários
  • Bloqueie logins de alto risco de login para todos os usuários
  • Bloqueie logins de risco de login médio para usuários privilegiados
  • Exija MFA para logins de risco médios para todos os outros usuários
• Os alertas devem ser configurados para solicitar uma revisão sobre a modificação de alto risco da configuração do inquilino, incluindo, mas não se limitando a:
  • Modificação das funções do Azure AD e usuários privilegiados associados a essas funções
  • Criação ou modificação das regras de transporte online do Exchange
  • Modificação das configurações de segurança em todo o inquilino
• Revisar detecções de risco na Proteção de Identidade Azure AD
  • Detecções de risco destacam usuários arriscados e logins arriscados
  • Os administradores podem revisar e confirmar logins individuais listados aqui como comprometidos ou seguros
  • Mais informações estão disponíveis aqui sobre como investigar a proteção de identidade do Azure Azure

Melhorar a conscientização sobre os ataques de engenharia social

A Microsoft recomenda aumentar e melhorar a conscientização sobre táticas de engenharia social para proteger sua organização. Educar os membros de sua equipe técnica para tomar cuidado e relatar quaisquer contatos incomuns com os colegas. As mesas de ajuda de TI devem ser hipervigilantes sobre usuários suspeitos e garantir que eles sejam rastreados e reportados imediatamente. Recomendamos a revisão das políticas de help desk para redefinições de senha para usuários e executivos altamente privilegiados levarem em consideração a engenharia social.

Incorpore uma cultura de conscientização de segurança em sua organização, educando os funcionários sobre práticas de verificação de help desk. Encoraje-os a relatar contatos suspeitos ou incomuns do help desk. A educação é a defesa número um contra ataques de engenharia social como este e é importante garantir que todos os funcionários estejam cientes dos riscos e táticas conhecidas.

Estabeleça processos de segurança operacional em resposta às invasões do DEV-0537

O DEV-0537 é conhecido por monitorar e intrometer-se nas comunicações de resposta a incidentes. Como tal, esses canais de comunicação devem ser acompanhados de perto para participantes não autorizados e a verificação dos participantes deve ser realizada visual ou audivelmente.

Aconselhamos as organizações a seguir práticas de segurança operacional muito rigorosas ao responder a uma intrusão que se acredita ser DEV-0537. As organizações devem desenvolver um plano de comunicação fora da banda para os respondentes de incidentes que é utilizável por vários dias enquanto uma investigação ocorre. A documentação deste plano de resposta deve ser mantida de perto e não ser facilmente acessível.

A Microsoft continua a rastrear as atividades, táticas, malware e ferramentas do DEV-0537. Comunicaremos quaisquer informações adicionais e recomendações enquanto investigamos suas ações contra nossos clientes.

FONTE: MICROSOFT