Ataques do grupo NOBELIUM em serviços em nuvem e outras tecnologias

A Microsoft lançou um post sobre os ataques do grupo NOBELIUM a serviços em nuvem e outras tecnologias. A CISA instou os usuários e administradores a revisar as recomendações e aplicar as atenuações necessárias, que mitigam riscos dos ataques que visam privilégios administrativos delegados para facilitar ataques mais amplos

A Microsoft lançou um post sobre os ataques do grupo NOBELIUM a serviços em nuvem e outras tecnologias. A CISA instou os usuários e administradores a revisarem as recomendações e aplicarem as atenuações necessárias, que mitigam riscos dos ataques que visam privilégios administrativos delegados para facilitar ataques mais amplos

O Microsoft Threat Intelligence Center (MSTIC) detectou atividade de um grupo ator da ameaça ligado a um Estado, conhecido como NOBELIUM. Os ataques citados tentam obter acesso a clientes downstream de vários provedores de serviços em nuvem (CSP), provedores de serviços gerenciados (MSP) e outros serviços de TI organizações (chamadas de “provedores de serviços” no restante deste post original) que receberam acesso administrativo ou privilegiado de outras organizações. A atividade direcionada foi observada contra organizações baseadas nos Estados Unidos e em toda a Europa desde maio de 2021. O MSTIC avalia que a NOBELIUM lançou uma campanha contra essas organizações para explorar as relações de confiança técnica existentes entre as organizações provedoras e os governos, “think tanks” e outros empresas que os atendem. NOBELIUM é o mesmo grupo/ator por trás dos comprometimentos da SolarWinds em 2020, e esta atividade mais recente compartilha as marcas e os padrões de abordagem de “comprometer um para comprometer muitos”. A Microsoft notificou vítimas conhecidas dessas atividades por meio do processo de notificação de ações patrocinadas por Estado e trabalhou com elas e outros parceiros do setor para expandir a investigação, resultando em novos insights e interrupção das ações dos atores da ameaça ao longo dos estágios desta campanha.

A Microsoft observou que NOBELIUM visava contas privilegiadas de provedores de serviço para mover-se lateralmente em ambientes de nuvem, aproveitando os relacionamentos confiáveis existentes ​​para obter acesso a clientes de “downstream” e permitir outros ataques ou acessar sistemas direcionados. Esses ataques não são o resultado de uma vulnerabilidade de segurança do produto, mas sim uma continuação do uso pela NOBELIUM de um kit de ferramentas diversificado e dinâmico que inclui malware sofisticado, “Password Spraying Attack”, ataques à cadeia de suprimentos, roubo de token, abuso de API e spear phishing para comprometer contas de usuário e alavancar o acesso dessas contas. Esses ataques destacaram a necessidade de os administradores adotarem práticas rígidas de segurança de contas e tomarem medidas adicionais para proteger seus ambientes.

Nos ataques à cadeia de suprimentos observados, clientes “downstream” de provedores de serviços e outras organizações também estão sendo alvos da NOBELIUM. Nessas relações provedor/cliente, os clientes delegam direitos administrativos ao provedor que permite que o provedor gerencie os locatários do cliente, como se eles fossem administradores dentro da organização do cliente. Ao roubar credenciais e comprometer contas no nível do provedor de serviços, o grupo NOBELIUM poderia tirar proveito de vários vetores potenciais, incluindo, mas não se limitando a privilégios administrativos delegados (delegated administrative privileges – DAP), e, em seguida, aproveitar esse acesso para estender ataques através de canais de downstream confiáveis, como VPNs voltados externamente ou soluções exclusivas provedor-cliente que permitem o acesso à rede.

Para reduzir o impacto potencial dessa atividade do grupo/ator NOBELIUM, a Microsoft incentiva todos os nossos parceiros e clientes a revisar imediatamente a orientações abaixo e implementar mitigações de risco, proteger os ambientes e investigar comportamentos suspeitos que correspondam às táticas descritas neste blog. A MSTIC continua a observar, monitorar e notificar os clientes e parceiros afetados por meio de nosso processo de notificação desses ataques de atores patrocinados por Estado. A Equipe de Detecção e Resposta da Microsoft (DART) e os Especialistas em Ameaças da Microsoft também se envolveram diretamente com os clientes afetados para ajudar na resposta a incidentes e conduzir uma melhor detecção e orientação sobre esta atividade.

Padrões de pós-exploração contra alvos de downstream

Um traço chave da atividade contínua do NOBELIUM ao longo do ano passado foi o abuso de caminhos indiretos e relações de confiança para atingir e obter acesso às vítimas de interesse para obter dados de inteligência. Na campanha mais recente, isso se manifestou em uma abordagem de “comprometer um para comprometer muitos” – explorando a cadeia de confiança dos provedores de serviço para obter amplo acesso a vários inquilinos de clientes para ataques subsequentes. NOBELIUM aproveita as práticas de negócios padrão estabelecidas, para atingir clientes downstream em várias instâncias (multiple customer tenants) gerenciados. Esses privilégios administrativos delegados geralmente não são auditados para aprovação do uso, nem desabilitados por um provedor de serviços ou cliente downstream depois que seja finalizado o uso, deixando-os ativos até serem removidos pelos administradores. Se o NOBELIUM tiver comprometido as contas vinculadas aos privilégios administrativos delegados por meio de outros ataques de roubo de credenciais, esse acesso garantirá a persistência para outras campanhas, além da que está em andamento.

Em um exemplo de cadeia de intrusão observada pelo MSTIC durante esta campanha, o ator foi observado encadeando artefatos e acesso por meio de quatro provedores distintos para atingir seu alvo final. O exemplo demonstra a amplitude de técnicas que o ator utiliza para explorar e abusar das relações de confiança, a fim de atingir seu objetivo.

A Microsoft lançou um blog sobre os ataques NOBELIUM a serviços em nuvem e outras tecnologias. A CISA insta os usuários e administradores a revisar [NOBELIUM visando privilégios administrativos delegados para facilitar ataques mais amplos] e aplicar as atenuações necessárias.
Figura 1: Exemplo de intrusão conduzida por NOBELIUM demonstrando acesso de ninho através de vários métodos.

A Microsoft avalia que organizações, como provedores de serviços de nuvem e outras organizações de tecnologia que gerenciam serviços em nome de clientes de downstream, terão interesse contínuo para os agentes de ameaças persistentes e correm o risco de serem alvos por meio de uma variedade de métodos, desde acesso credencial a redes sociais direcionadas engenharia por meio de processos e procedimentos comerciais legítimos. Para obter informações adicionais sobre como identificar e fazer a triagem de privilégios administrativos delegados, consulte as atenuações e recomendações abaixo.

Mitigação e remediação

A Microsoft recomenda que os provedores de serviço de nuvem, outras organizações de tecnologia com privilégios elevados para sistemas de clientes e todos os clientes downstream dessas organizações revisem e implementem as seguintes ações para ajudar a mitigar e corrigir a atividade recente com as do grupo NOBELIUM.

– Se você é um provedor de serviços em nuvem ou uma organização que conta com privilégios elevados:

1. Verifique e monitore a conformidade com os requisitos de segurança do Microsoft Partner Center

Todos os parceiros da Microsoft devem revisar e verificar o status geral de conformidade com os partner security requirements por meio do Microsoft Partner Center. A Microsoft recomenda o seguinte:

• Certifique-se de que a autenticação multifatorial (MFA) esteja em uso e as políticas de acesso condicional sejam aplicadas: Todos os parceiros da Microsoft são obrigados a usar a MFA para acessar o Partner Center e para acesso cruzado a locatários de clientes em nuvens comerciais da Microsoft. Os parceiros são aconselhados a verificar sua conformidade de segurança na Central de Parceiros e monitorar se algum login de usuário ou chamadas de API não são compatíveis com a aplicação de MFA. Os parceiros devem estar sempre em conformidade.

• Adote a estrutura do modelo de aplicativo seguro (Secure Application Model Framework): Todos os parceiros que se integram às APIs do Partner Center devem adotar a estrutura do modelo de aplicativo seguro para qualquer aplicativo e aplicações de modelo de autenticação para usuário.

• Verifique os registros de atividades da Central de Parceiros: os parceiros são aconselhados a verificar regularmente o “Registro de atividades” na Central de parceiros para monitorar quaisquer atividades do usuário, incluindo criações de usuários com privilégios elevados, atribuição de funções de usuários com privilégios elevados, etc. Os parceiros também podem usar APIs de registro de atividades da Central de parceiros para criar um painel de segurança personalizado nas principais atividades do usuário na Central de parceiros para detectar atividades suspeitas de maneira proativa.

2. Remova a conexão de privilégios administrativos delegados (DAP) quando não estiver em uso

Para melhorar a segurança, a Microsoft recomenda que os parceiros removam privilégios administrativos delegados que não estão mais em uso. A partir de novembro, uma nova ferramenta de relatório estará disponível que identifica e exibe todas as conexões de privilégios administrativos delegados ativos e ajudará as organizações a descobrir conexões de privilégios administrativos delegados não utilizados. Essa ferramenta fornecerá relatórios em um dashboard que capturam como os agentes do parceiro estão acessando os clientes por meio desses privilégios e permitirá que os parceiros removam a conexão quando não estiver em uso.

3. Conduza uma investigação completa e uma resposta abrangente.

Realize investigações adicionais se achar que pode ter sido afetado para determinar o escopo completo dos usuários/ativos comprometidos. A Microsoft recomenda o seguinte:

Revise e audite as entradas e alterações de configuração do Azure AD (Azure AD Security Operations Guide): as autenticações dessa natureza são auditadas e disponibilizadas para os clientes por meio dos logs de entrada do Azure AD, logs de auditoria do Azure AD e o centro de conformidade do Microsoft 365 (Microsoft 365 compliance center) , anteriormente chamado de Centro de administração do Exchange. Recentemente, foram adicionados recursos para ver logins de parceiros que delegam permissões de administrador. Você pode ver uma exibição filtrada dessas entradas navegando até os logs de entrada no portal de administração do Azure AD(Azure AD admin logs) e adicionando um filtro ‘Tipo de acesso entre locatários: provedor de serviços’ em ‘Entradas de usuário (não interativo) ‘.

Os procedimentos adequados de retenção de log para recursos baseados em nuvem são essenciais para identificar, responder e remediar com eficácia a atividade maliciosa. Os provedores de serviços em nuvem e outras organizações de tecnologia frequentemente configuram assinaturas individuais para atender a requisitos específicos do cliente. Essas configurações podem não incluir controles de segurança que permitem total responsabilidade pelas ações administrativas caso ocorra um incidente. “Encorajamos todas as organizações a se familiarizarem com os logs disponibilizados em sua assinatura e a avaliá-los rotineiramente quanto à adequação e anomalias”, diz o relatório da Microsoft.

Os manuais de resposta a incidentes gerais para Phishing e ataques contra as senhas do tipo Password Spray estão disponíveis em Práticas recomendadas de segurança da Microsoft.

– Se você é um downstream costumer

1. Revise, audite e minimize os privilégios de acesso e permissões delegadas

É importante considerar e implementar uma abordagem de privilégios mínimos. A Microsoft recomenda priorizar uma revisão completa e auditoria das relações de parceiros para minimizar quaisquer permissões desnecessárias entre sua organização e os provedores upstream. A Microsoft recomenda remover imediatamente o acesso para qualquer relacionamento de parceiro que pareça desconhecido ou que ainda não tenha sido auditado.

Revise, proteja e monitore todas as contas de administrador de locatário: todas as organizações devem revisar completamente todos os usuários admin de locatário, incluindo aqueles associados a Administer On Behalf Of (AOBO) nas assinaturas do Azure e verificar a autenticidade dos usuários e da atividade. A Microsoft incentiva o uso de autenticação forte para todos os administradores de locatários, revisão dos dispositivos registrados para uso com MFA e minimizar o uso de acesso permanente de alto privilégio. Continue a inspecionar de tempos em tempos todas as contas de usuários administradores de locatários ativos e verifique os logs de auditoria regularmente para verificar se o acesso de usuário de alto privilégio não é concedido ou delegado a usuários administradores que não precisam deles para fazer seu trabalho.

Revise as permissões do provedor de serviços de acesso de contas B2B e locais: além de usar os recursos de privilégio administrativo delegado, alguns provedores de serviços de nuvem usam contas Business-to-Business (B2B) ou contas de administrador local em locatários de clientes. Recomendamos que você identifique se seus provedores de serviço em nuvem os usam e, em caso afirmativo, certifique-se de que essas contas sejam bem administradas e tenham acesso de privilégio mínimo em seu locatário. A Microsoft não recomenda o uso de contas de administrador “compartilhadas”. Revise a orientação detalhada sobre como revisar as permissões para contas B2B.

2. Verifique se a autenticação multifator (MFA) está habilitada e aplique as políticas de acesso condicional

MFA é o melhor método básico de higiene de segurança para proteção contra ameaças. Siga as orientações detalhadas sobre como configurar a autenticação multifator no Microsoft 365, bem como as orientações sobre como implantar e configurar políticas de acesso condicional no Azure Active Directory (Azure AD).

3. Revisar e auditar registros e configurações

Revise e audite as entradas e alterações de configuração do Azure AD: as autenticações dessa natureza são auditadas e disponibilizadas para os clientes por meio dos logs de entrada do Azure AD, logs de auditoria do Azure AD e o centro de conformidade do Microsoft 365 (anteriormente no Centro de administração do Exchange). Recentemente, adicionamos o recurso de ver logins de parceiros que delegaram permissões de administrador. Você pode ver uma exibição filtrada dessas entradas navegando até os logs de entrada no portal de administração do Azure AD e adicionando um filtro ‘Tipo de acesso entre locatários: provedor de serviços’ em ‘Entradas de usuário (não interativo) ‘.

A Microsoft lançou um blog sobre os ataques NOBELIUM a serviços em nuvem e outras tecnologias. A CISA insta os usuários e administradores a revisar [NOBELIUM visando privilégios administrativos delegados para facilitar ataques mais amplos] e aplicar as atenuações necessárias.

Revise a disponibilidade de log e estratégias de retenção existentes: a investigação de atividades conduzidas por agentes mal-intencionados coloca uma grande ênfase em ter procedimentos de retenção de log adequados para recursos baseados em nuvem, incluindo o Office 365. Vários níveis de assinatura têm disponibilidade de log individualizada e políticas de retenção que são importantes para entender antes de formando um procedimento de resposta a incidentes.

Por fim, a empresa recomenda a todas as organizações a se familiarizarem com os logs disponibilizados em sua assinatura e a avaliá-los rotineiramente quanto à adequação e anomalias. Para organizações que dependem de uma organização de terceiros, trabalhe com eles para entender sua estratégia de registro para todas as ações administrativas e estabelecer um processo caso os registros precisem ser disponibilizados durante um incidente.

Para acessar o relatório completo da MICROSOFT sobre o grupo NOBELIUM, clique aqui.

Fonte: www.microsoft.com

Posts relacionados: Microsoft publica mitigações para o ataque “PetitPotam” / Ataques ao Exchange Server: Microsoft faz comentários pós-comprometimento e Microsoft anuncia novos recursos de detecção de ransomware para Azure