Agencias de inteligencia y ciberseguridad de Australia, Canadá y Estados Unidos han advertido sobre una campaña de un año de duración emprendida por ciberactores iraníes para infiltrarse en organizaciones de infraestructura crítica mediante ataques de fuerza bruta.
“Desde octubre de 2023, los actores iraníes han utilizado la fuerza bruta y la pulverización de contraseñas para comprometer las cuentas de los usuarios y obtener acceso a organizaciones en los sectores de atención médica y salud pública (HPH), gobierno, tecnología de la información, ingeniería y energía”, dijeron las agencias. dicho en un asesoramiento conjunto.
Los ataques se han dirigido a los sectores de salud, gobierno, tecnología de la información, ingeniería y energía, según la Policía Federal Australiana (AFP), el Centro Australiano de Seguridad Cibernética (ACSC) de la Dirección de Señales de Australia, el Establecimiento de Seguridad de Comunicaciones de Canadá (CSE), el Centro Federal de Seguridad de EE. UU. Oficina de Investigaciones (FBI), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Agencia de Seguridad Nacional (NSA).
Otra táctica notable fuera de la fuerza bruta y la pulverización de contraseñas se refiere al uso de bombardeo rápido de autenticación multifactor (MFA) para penetrar redes de interés.
“El bombardeo push es una táctica empleada por actores de amenazas que inundan o bombardean a un usuario con notificaciones push de MFA con el objetivo de manipularlo para que apruebe la solicitud, ya sea sin querer o por molestia”, Ray Carney, director de investigación de Tenable, dijo en un comunicado.
“Esta táctica también se conoce como fatiga de MFA. MFA resistente al phishing es el mejor mecanismo para evitar el bombardeo automático, pero si esa no es una opción, la coincidencia de números (que requiere que los usuarios ingresen un código de tiempo específico de un sistema de identidad aprobado por la empresa) es una copia de seguridad aceptable. Muchos sistemas de identidad tienen la coincidencia de números como característica secundaria”.
El objetivo final de estos ataques es probablemente obtener credenciales e información que describa la red de la víctima que luego pueda venderse para permitir el acceso a otros ciberdelincuentes, haciéndose eco de una alerta emitida anteriormente por Estados Unidos en agosto de 2024.
Al acceso inicial le siguen pasos para realizar un reconocimiento exhaustivo de los sistemas y la red de la entidad utilizando herramientas de vida fuera de la tierra (LotL), escalar privilegios a través de CVE-2020-1472 (también conocido como Zerologon) y movimiento lateral a través de RDP. También se ha descubierto que el actor de amenazas registra sus propios dispositivos con MFA para mantener la persistencia.
Los ataques, en algunos casos, se caracterizan por utilizar msedge.exe para establecer conexiones salientes a la infraestructura de comando y control (C2) de Cobalt Strike.
“Los actores realizaron descubrimientos en las redes comprometidas para obtener credenciales adicionales e identificar otra información que podría usarse para obtener puntos de acceso adicionales”, dijeron las agencias, y agregaron que “venden esta información en foros de cibercriminales a actores que pueden usar la información para llevar a cabo actividades maliciosas adicionales.”
La alerta llega semanas después de que las agencias gubernamentales de los países de Five Eyes publicaran una guía sobre las técnicas comunes que utilizan los actores de amenazas para comprometer Active Directory.
“Active Directory es la solución de autenticación y autorización más utilizada en las redes de tecnología de la información (TI) empresarial a nivel mundial”, afirman las agencias. dicho. “Los actores maliciosos atacan rutinariamente a Active Directory como parte de los esfuerzos para comprometer las redes de TI empresariales aumentando los privilegios y apuntando a los objetos de usuario más confidenciales”.
También sigue a un cambio en el panorama de amenazas en el que los equipos de piratería de los estados-nación colaboran cada vez más con los ciberdelincuentes, subcontratando algunas partes de sus operaciones para promover sus motivos geopolíticos y financieros, dijo Microsoft. dicho.
“Los actores de amenazas de los estados-nación están llevando a cabo operaciones para obtener ganancias financieras y solicitando la ayuda de ciberdelincuentes y malware comercial para recopilar inteligencia”, dijo el gigante tecnológico. anotado en su Informe de Defensa Digital para 2024.
“Los actores de amenazas de estados-nación llevan a cabo operaciones para obtener ganancias financieras, reclutan a ciberdelincuentes para recopilar inteligencia sobre el ejército ucraniano y hacen uso de los mismos ladrones de información, marcos de comando y control y otras herramientas favorecidas por la comunidad cibercriminal”.