9 nov 2024

Delincuentes utilizan Password Spray para acceder a empresas

Desde agosto de 2023, Microsoft ha observado una actividad de intrusión dirigida y que roba con éxito las credenciales de varios clientes de Microsoft, que se habilita mediante ataques de password spray (rociado de contraseñas) altamente evasivos.

Microsoft ha vinculado la fuente de estos ataques a una red de dispositivos comprometidos que rastrearon como CovertNetwork-1658, también conocida como xlogin y Quad7 (7777). Microsoft evalúa que las credenciales adquiridas a partir de las operaciones de rociado son utilizadas por varios actores de amenazas chinos.

En particular, el actor de amenazas chino Storm-0940 usa credenciales de CovertNetwork-1658. Activo desde al menos 2021, Storm-0940 obtiene acceso inicial a través de rociado de contraseñas y ataques de fuerza bruta, o explotando o haciendo un mal uso de las aplicaciones y servicios de borde de la red. Se sabe que Storm-0940 ataca a organizaciones en América del Norte y Europa, incluidos centros de estudios, organizaciones gubernamentales y no gubernamentales, bufetes de abogados, bases industriales de defensa y otros.

Al igual que con cualquier actividad de un actor de amenaza de un estado nacional observada, Microsoft ha notificado directamente a los clientes afectados o comprometidos, proporcionándoles información importante necesaria para ayudar a proteger sus entornos.

¿Qué es CovertNetwork-1658?

La empresa rastrea una red de enrutadores de pequeñas empresas comprometidos como CovertNetwork-1658. Los routers fabricados por TP-Link conforman la mayor parte de esta red. Microsoft utiliza "CovertNetwork" para referirse a una colección de direcciones IP de salida que consisten en dispositivos comprometidos o alquilados que pueden ser utilizados por uno o más actores de amenazas.

CovertNetwork-1658 se refiere específicamente a una colección de direcciones IP de salida que pueden ser utilizadas por uno o más actores de amenazas chinos y está compuesta en su totalidad por dispositivos comprometidos. Microsoft evalúa que un actor de amenazas ubicado en China estableció y mantiene esta red y explota una vulnerabilidad en los enrutadores para obtener la capacidad de ejecución remota de código. Luego, varios actores de amenazas chinos utilizan las credenciales adquiridas para realizar actividades de explotación de redes informáticas.

Actividad posterior al ataque en routers comprometidos

Después de obtener acceso con éxito a un router vulnerable, en algunos casos, el actor de amenazas sigue los siguientes pasos para preparar el equipo para operaciones de rociado de contraseñas:

  • Descargar el binario Telnet desde un servidor FTP remoto.
  • Descargar el binario xlogin backdoor desde un servidor FTP remoto
  • Utilizar los binarios Telnet y xlogin descargados para iniciar una shell de comandos con control de acceso en el puerto TCP 7777.
  • Conectarse y autenticarse en el backdoor xlogin que escucha en el puerto TCP 7777.
  • Descargar un binario de servidor SOCKS5 al enrutador.
  • Iniciar el servidor SOCKS5 en el puerto TCP 11288

Se observa que CovertNetwork-1658 lleva a cabo sus campañas de rociado de contraseñas a través de esta red proxy para garantizar que los intentos se originen en los dispositivos comprometidos.

Actividad de rociado de contraseñas desde la infraestructura de CovertNetwork-1658

Microsoft ha observado múltiples campañas de rociado de contraseñas que se originan en la infraestructura de CovertNetwork-1658. En estas campañas, CovertNetwork-1658 envía una cantidad muy pequeña de intentos de inicio de sesión a muchas cuentas en una organización de destino. En aproximadamente el 80 por ciento de los casos, CovertNetwork-1658 solo realiza un intento de inicio de sesión por cuenta por día.

La infraestructura de CovertNetwork-1658 es difícil de monitorear debido a las siguientes características:

  • El uso de direcciones IP SOHO comprometidas
  • El uso de un conjunto rotativo de direcciones IP en un momento dado. Los actores de amenazas tenían miles de direcciones IP disponibles a su disposición. El tiempo de actividad promedio de un nodo CovertNetwork-1658 es de aproximadamente 90 días.
  • El proceso de rociado de contraseñas de bajo volumen; por ejemplo, el monitoreo de múltiples intentos fallidos de inicio de sesión desde una dirección IP o una cuenta no detectará esta actividad
  • Varios proveedores de seguridad han informado sobre las actividades de CovertNetwork-1658, incluidos Sekoia (julio de 2024) y Team Cymru (agosto de 2024).

Históricamente, Microsoft ha observado un promedio de 8.000 dispositivos comprometidos que participan activamente en la red CovertNetwork-1658 en un momento dado. En promedio, alrededor del 20 por ciento de estos dispositivos realizan rociado de contraseñas. Cualquier actor de amenazas que utilice la infraestructura CovertNetwork-1658 podría realizar campañas de spray a mayor escala y aumentar en gran medida la probabilidad de compromiso exitoso de credenciales y acceso inicial a múltiples organizaciones en un corto período de tiempo.

Actividad observada vinculada a Storm-0940

Se han observado numerosos casos en los que Storm-0940 ha obtenido acceso inicial a organizaciones objetivo utilizando credenciales válidas obtenidas a través de las operaciones de rociado de contraseñas de CovertNetwork-1658.

Después de obtener acceso con éxito a un entorno víctima, en algunos casos, se ha observado que Storm-0940:

  • Utiliza herramientas de escaneo y volcado de credenciales para moverse lateralmente dentro de la red;
  • Intenta acceder a dispositivos de red e instalar herramientas proxy y troyanos de acceso remoto (RAT) para la persistencia;
  • Intenta exfiltrar datos.

Recomendaciones

Las organizaciones pueden defenderse contra la difusión de contraseñas mediante la creación de una higiene de credenciales y el fortalecimiento de las identidades en la nube. Microsoft recomienda las siguientes mitigaciones para reducir el impacto de esta amenaza:

Fuente: Microsoft

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!