[15/09/2023] Un grupo de ciberespionaje operado por el Estado iraní ha lanzado este año ataques de pulverización de contraseñas contra miles de organizaciones, en un intento de establecer persistencia en sus entornos, moverse lateralmente y recopilar inteligencia útil. Las organizaciones atacadas pertenecían principalmente a los sectores de satélites, defensa y farmacéutico, y se extendían por distintas zonas geográficas.
Microsoft rastrea al grupo como Peach Sandstorm, pero también se le conoce en el sector como HOLMIUM, Elfin y APT33. Se cree que el grupo tiene vínculos con el gobierno iraní y sirve a sus intereses, basándose en la selección de objetivos en el pasado y en el tipo de datos recopilados.
"Un subconjunto de la actividad de Peach Sandstorm 2023 posterior al compromiso ha sido sigiloso y sofisticado", señaló Microsoft en un informe sobre la campaña de ataque que tuvo lugar entre febrero y julio. "Muchas de las tácticas, técnicas y procedimientos (TTP) basados en la nube vistos en estas campañas más recientes son materialmente más sofisticados que las capacidades utilizadas por Peach Sandstorm en el pasado".
La pulverización de contraseñas es uno de los vectores de ataque favoritos
Peach Sandstorm lleva mucho tiempo utilizando la pulverización de contraseñas para acceder a objetivos, no sólo este año. A diferencia de los ataques de adivinación de contraseñas por fuerza bruta, en los que se prueba un gran número de combinaciones de contraseñas para una sola cuenta, la pulverización de contraseñas se dirige a varias cuentas con una o un pequeño subconjunto de contraseñas de uso común.
El pulverizador de contraseñas es un ataque ruidoso que deja rastros en los registros y puede activar los mecanismos de defensa, por lo que no es el único vector de acceso inicial empleado por Peach Sandstorm. Un subconjunto de víctimas fue atacado con exploits para la ejecución remota de código en los productos Zoho ManageEngine y Confluence (CVE-2022-47966 y CVE-2022-26134).
Las pruebas sugieren que gran parte de los ataques de difusión de contraseñas fueron oportunistas, y que los atacantes se dirigieron a miles de cuentas y organizaciones con la esperanza de entrar en el mayor número posible y luego seleccionar a las víctimas. Los ataques se producían siempre entre las 9 de la mañana y las 5 de la tarde, hora estándar de Irán, y se lanzaban desde direcciones IP Tor con un agente de usuario de navegador llamado "go-http-client".
Para un subconjunto de cuentas comprometidas, los atacantes utilizaron AzureHound y ROADtools, dos marcos de código abierto que se pueden utilizar para llevar a cabo el reconocimiento en entornos de Microsoft Entra ID (anteriormente Azure Active Directory) mediante la interacción con las API de Microsoft Graph y REST con el objetivo de exfiltrar datos de interés de la cuenta en la nube de una víctima.
"AzureHound y Roadtools tienen funcionalidades que son utilizadas por defensores, equipos rojos y adversarios", anotó Microsoft en su informe. "Las mismas características que hacen que estas herramientas sean útiles para los usuarios legítimos, como las capacidades pre-construidas para explorar y volcar datos sin problemas en una sola base de datos, también hacen que estas herramientas sean opciones atractivas para los adversarios que buscan información sobre o desde el entorno de un objetivo".
Para lograr la persistencia, los atacantes configuraron nuevas suscripciones de Azure en los inquilinos de las víctimas, que se utilizaron para establecer comunicación de comando y control con la infraestructura operada por el grupo. También instalaron el cliente Azure Arc en los dispositivos de los entornos comprometidos y lo conectaron a una suscripción de Azure que controlaban, lo que les dio capacidades de control remoto sobre esos dispositivos. Azure Arc es una capacidad que permite la gestión remota de sistemas Windows y Linux en un entorno Azure AD.
Otras herramientas y técnicas posteriores al ataque
Después de lograr la persistencia, los atacantes de Peach Sandstorm desplegaron una variedad de herramientas disponibles públicamente y personalizadas, incluyendo AnyDesk, una herramienta comercial de monitorización y gestión remota (RMM), y EagleRelay, una herramienta personalizada de tunelización de tráfico que los atacantes desplegaron en máquinas virtuales recién creadas en los entornos de las víctimas.
Otras técnicas empleadas por el grupo incluyen el abuso del protocolo de escritorio remoto (RDP), la ejecución de código malicioso mediante el secuestro de DLL con un ejecutable legítimo de VMWare y el lanzamiento de un ataque Golden SAML.
"En un ataque Golden SAML, un adversario roba claves privadas del servidor Active Directory Federated Services (AD FS) local de un objetivo y utiliza las claves robadas para acuñar un token SAML en el que confía el entorno Microsoft 365 de un objetivo", indicó Microsoft. "Si tiene éxito, un actor de amenaza podría eludir la autenticación AD FS y acceder a los servicios federados como cualquier usuario".
Microsoft recomienda tratar los servidores AD FS como activos de nivel 0 porque su compromiso puede dar a los atacantes el control total de la autenticación a los inquilinos de Microsoft Entra ID y otras partes retransmisoras configuradas.
Cómo mitigar los ataques de pulverización de contraseñas
La empresa también recomienda restablecer las contraseñas de las cuentas y las cookies de sesión de cualquier cuenta que haya sido objeto de un ataque de pulverización de contraseñas, así como realizar investigaciones adicionales si las cuentas en cuestión tienen permisos a nivel de sistema. También debe revisarse la configuración de autenticación multifactor (MFA) de las cuentas, y revocar cualquier cambio realizado por los atacantes.
Otros consejos de Microsoft son
- Crear políticas de acceso condicional para permitir o denegar el acceso al entorno en función de criterios definidos.
- Bloquear la autenticación heredada con Microsoft Entra ID utilizando el acceso condicional. Los protocolos de autenticación heredados no tienen la capacidad de aplicar MFA, por lo que bloquear dichos métodos de autenticación evitará que los atacantes de rociado de contraseñas se aprovechen de la falta de MFA en esos protocolos.
- Habilitar el bloqueo de extranet del proxy de aplicaciones web de AD FS para proteger a los usuarios de posibles ataques de fuerza bruta de contraseñas.
- Practicar el principio del menor privilegio y audite la actividad de cuentas privilegiadas en sus entornos Microsoft Entra ID para frenar y detener a los atacantes.
- Implementar Microsoft Entra ID Connect Health para Servicios de Federación de Directorio Activo (AD FS). Esto captura los intentos fallidos, así como las direcciones IP registradas en los registros de AD FS para solicitudes incorrectas en el informe de IP peligrosa.
- Utilizar la protección de contraseñas de Microsoft Entra ID para detectar y bloquear contraseñas débiles conocidas y sus variantes.
- Activar la protección de identidad en Microsoft Entra ID para supervisar los riesgos basados en la identidad y crear políticas para los inicios de sesión arriesgados.
- Utilizar MFA para mitigar los ataques de pulverización de contraseñas con éxito. Mantenga la MFA siempre activada para las cuentas con privilegios y aplique la MFA basada en riesgos para las cuentas normales.
- Considerar la transición a un método de autenticación principal sin contraseña, como Azure MFA, certificados o Windows Hello for Business.
- Proteger los puntos finales de RDP o Escritorio Virtual de Windows con MFA para reforzarlos frente a ataques de pulverización de contraseñas o de fuerza bruta.
Basado en el artículo de Lucian Constantin (CSO) y editado por CIO Perú