« Midnight Blizzard », le groupe de menace affilié aux services de renseignement russes (SVR) et à l'entité à l'origine des attaques contre SolarWinds et des organisations comme Microsoft et HPE, exploite les comptes de services cloud automatisés et les comptes dormants pour accéder aux environnements cloud des organisations cibles.
Ces attaques marquent un changement de tactique important pour l'acteur malveillant (également connu sous les noms d'APT29, Cozy Bear et Dukes), car il s'adapte à l'adoption croissante des services cloud par les organisations dans les secteurs qu'il cible traditionnellement.
Un changement important
Dans un avis publié lundi, le Royaume-Uni Centre national de cybersécurité (NCSC), En collaboration avec le Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) et leurs homologues d'autres pays, ont mis en garde contre le changement de tactique de Midnight Blizzard et la nécessité pour les organisations d'empêcher les acteurs malveillants d'obtenir un accès initial à leurs environnements cloud.
"Pour les organisations qui ont migré vers une infrastructure cloud, la première ligne de défense contre un acteur tel que SVR devrait être de se protéger contre les TTP de SVR pour l'accès initial", note l'avis, tout en recommandant des mesures d'atténuation contre la menace.
Les États-Unis et d'autres ont lié Midnight Blizzard avec un haut degré de confiance au SVR russe, un acteur menaçant actif depuis au moins 2009. Initialement, le groupe a attiré l'attention pour ses attaques de collecte de renseignements contre des agences gouvernementales, des groupes de réflexion et des organisations. dans les domaines de la santé et de l’énergie. Ces dernières années, et en particulier depuis son attaque SolarWinds, Midnight Blizzard a ciblé de nombreuses autres organisations, notamment celles des secteurs de la chaîne d'approvisionnement en logiciels, de la recherche en soins de santé, des forces de l'ordre, de l'aviation et de l'armée. Récemment Microsoft et HPE ont blâmé l'acteur menaçant pour pénétrer dans leurs environnements de messagerie d'entreprise respectifs et accéder aux e-mails appartenant à la haute direction et au personnel clé.
Dans bon nombre de ses attaques précédentes, Midnight Blizzard a exploité des vulnérabilités logicielles et d'autres faiblesses du réseau pour obtenir un premier accès à l'infrastructure informatique sur site d'une organisation cible. Mais comme bon nombre de ses cibles se tournent vers des environnements cloud natifs et hébergés dans le cloud, l’acteur malveillant a été contraint de pivoter et de cibler également les services cloud. "Pour accéder à la majorité du réseau hébergé dans le cloud des victimes, les acteurs doivent d'abord s'authentifier avec succès auprès du fournisseur de cloud", a déclaré le NCSC.
Service de ciblage et comptes dormants
Une tactique courante utilisée par Midnight Blizzard pour atteindre cet objectif consiste à utiliser des attaques de devinette par force brute et de pulvérisation de mots de passe pour accéder aux comptes de services cloud. Il s'agit généralement de comptes automatisés et non humains destinés à la gestion des applications et des services cloud. De tels comptes ne peuvent pas être facilement protégés via des mécanismes d'authentification à deux facteurs et sont donc plus susceptibles d'être compromis et piratés, a déclaré le NCSC.
Mais il existe un autre problème qui rend le contrôle de ces comptes par les acteurs malveillants particulièrement problématique. "L'accès à ces comptes fournit aux acteurs malveillants un accès initial privilégié à un réseau, pour lancer d'autres opérations", a averti le NCSC. Dans bon nombre de ces attaques, les auteurs de la menace ont utilisé des adresses IP résidentielles légitimes pour lancer leurs attaques par pulvérisation de mots de passe, ce qui a rendu difficile pour les défenseurs de repérer l'activité pour ce qu'elle était.
Une autre tactique utilisée par Midnight Blizzard pour obtenir un accès initial à un environnement cloud cible consiste à exploiter les comptes dormants appartenant à des utilisateurs qui ne travaillent peut-être plus dans une organisation victime, mais dont le compte peut rester sur le système, note l'avis. Il arrive parfois que l’auteur de la menace retrouve l’accès à un réseau à partir duquel il aurait pu être démarré en se connectant à des comptes inactifs et en suivant les instructions pour réinitialiser le mot de passe.
Abuser des jetons d'authentification
D'autres tactiques utilisées par Midnight Blizzard pour l'accès initial au cloud incluent l'utilisation Jetons OAuth obtenus illégalement pour accéder aux comptes des victimes - et maintenir la persistance - sans exiger de mot de passe, ainsi qu'en utilisant ce qu'on appelle Bombardement MFA ou fatigue MFA attaques pour amener les victimes à les authentifier sur un compte cible. Une fois que l’auteur de la menace a accédé à un environnement cloud, il a souvent enregistré son propre appareil sur celui-ci pour obtenir un accès persistant.
Pour atténuer la menace, les organisations devraient utiliser l'authentification multifactorielle là où elles le peuvent, afin de réduire l'impact d'une compromission de mot de passe, a déclaré le NCSC. Dans les situations où il peut s'avérer difficile d'utiliser un deuxième facteur d'authentification, les organisations doivent créer des mots de passe forts pour protéger les comptes de service. Le NCSC a également recommandé que les organisations mettent en œuvre le principe du moindre privilège pour les comptes de service afin de limiter ce qu'un attaquant pourrait potentiellement faire en en utilisant un à mauvais escient.
En outre, l'avis préconise de maintenir la durée de vie des sessions des jetons d'authentification aussi « courtes que possible » afin de limiter ce que l'acteur malveillant pourrait faire avec un jeton volé et de s'assurer que les politiques d'inscription des appareils ne permettent pas l'enregistrement d'appareils non autorisés dans l'environnement cloud.
"Des comptes de service Canary doivent être créés qui semblent être des comptes de service valides mais ne sont jamais utilisés par des services légitimes", indique l'avis. L’utilisation abusive de tels comptes est un signe clair d’accès non autorisé qui nécessite une enquête immédiate.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/cloud-security/russia-s-midnight-blizzard-targeting-service-accounts-for-initial-cloud-access
- :possède
- :est
- :ne pas
- :où
- 2009
- 7
- a
- accès
- accès
- Compte
- hybrides
- atteindre
- infection
- activité
- acteurs
- s'adapte
- ajout
- adresses
- Adoption
- consultatif
- Affilié
- à opposer à
- agences
- agence
- aussi
- an
- et de
- et infrastructure
- Une autre
- apparaître
- applications
- SONT
- AS
- At
- attaquer
- attaquant
- Attaques
- précaution
- authentifier
- Authentification
- Automatisation
- aviation
- BE
- Gardez
- était
- derrière
- qui appartiennent
- L'abandon
- mais
- by
- CAN
- ne peut pas
- Canaux centraux
- chaîne
- clair
- le cloud
- infrastructure de cloud
- services de cloud computing
- collaboration
- Commun
- compromis
- confiance
- Entreprises
- pourriez
- homologues
- d'exportation
- engendrent
- créée
- cyber
- la cyber-sécurité
- Cybersécurité
- défenseurs
- Défense
- Degré
- dispositif
- Compatibles
- difficile
- do
- même
- emails
- employés
- énergie
- mise en vigueur
- entité
- Environment
- environnements
- notamment
- Exploités
- facteur
- Prénom
- Abonnement
- Pour
- forcé
- De
- plus
- Gain
- gagné
- gagner
- recueilli
- obtenez
- objectif
- Gouvernement
- organismes gouvernementaux
- Réservation de groupe
- Croissance
- Dur
- Vous avez
- la médecine
- Haute
- organisé
- HTTPS
- Immédiat
- Impact
- Mettre en oeuvre
- in
- Dans d'autres
- inactif
- comprendre
- Y compris
- secteurs
- Infrastructure
- initiale
- possible
- Des instructions
- Intelligence
- développement
- enquête
- IP
- adresses IP
- aide
- IT
- SES
- jpg
- en gardant
- ACTIVITES
- connu
- lancer
- Droit applicable et juridiction compétente
- application de la loi
- Leadership
- au
- légitime
- Levier
- en tirant parti
- comme
- LIMIT
- Gamme
- enregistrement
- plus long
- maintenir
- Majorité
- FAIT DU
- Fabrication
- les gérer
- de nombreuses
- marque
- Mai..
- mécanismes
- Microsoft
- minuit
- pourrait
- Militaire
- une mauvaise utilisation
- Réduire les
- lundi XNUMX
- PLUS
- déménagé
- authentification multifactorielle
- must
- NCSC
- Besoin
- Besoins
- réseau et
- n'allons jamais
- aucune
- noté
- nombreux
- oauth
- obtenu
- occasions
- of
- souvent
- on
- une fois
- ONE
- Opérations
- or
- organisation
- organisations
- Autre
- Autres
- ande
- propre
- Mot de Passe
- mots de passe
- persistance
- personnel
- Pivoter
- Platon
- Intelligence des données Platon
- PlatonDonnées
- politiques
- l'éventualité
- Méthode
- empêcher
- précédent
- privilégié
- problématique
- protéger
- protégé
- L'utilisation de sélénite dans un espace est un excellent moyen de neutraliser l'énergie instable ou négative.
- de voiture.
- fournit
- récent
- récemment
- recommandé
- recommander
- réduire
- inscrit
- Inscription
- rester
- un article
- Résidentiel
- ceux
- Russie
- russe
- s
- Saïd
- Deuxièmement
- Secteurs
- sécurité
- supérieur
- la haute direction
- service
- Services
- Session
- décalage
- DÉPLACEMENT
- Shorts
- devrait
- signer
- significative
- depuis
- situations
- Logiciels
- chaîne d'approvisionnement de logiciels
- SolarWinds
- Sponsorisé
- Spot
- volé
- STRONG
- réussi
- Avec succès
- tel
- la quantité
- chaîne d'approvisionnement
- sûr
- sensible
- combustion propre
- tactique
- prise de contrôle
- réservoirs
- Target
- des campagnes marketing ciblées,
- ciblage
- objectifs
- qui
- La
- au Royaume-Uni
- leur
- Les
- Là.
- donc
- Ces
- l'ont
- penser
- ceux
- menace
- acteurs de la menace
- Attaché
- à
- jeton
- Tokens
- traditionnellement
- typiquement
- Uk
- non autorisé
- us
- utilisé
- d'utiliser
- utilisateurs
- en utilisant
- Info de contact.
- via
- Victime
- victimes
- vulnérabilités
- averti
- était
- faiblesses
- WELL
- Quoi
- qui
- tout en
- WHO
- dont
- comprenant
- sans
- de travail
- années
- zéphyrnet