Advertencia de Five Eyes: APT29 Amplía sus Objetivos y Adopta Nuevas Técnicas para Atacar Entornos de Nube

En el escenario siempre cambiante de la ciberseguridad, los actores de amenazas rusos APT29, también conocidos como Midnight Blizzard o Cozy Bear, han vuelto a captar la atención de la comunidad internacional. Esta vez, miembros de la alianza de inteligencia Five Eyes han emitido una advertencia conjunta sobre los cambios en las tácticas y objetivos de este grupo de ciberespionaje, destacando su enfoque en acceder a entornos de nube para llevar a cabo sus actividades maliciosas.

Recomendamos leer un artículo relacionado con los grupos APT: 10 mejores prácticas de expertos para mejorar la protección de Office 365 contra ataques APT

APT29 ha sido durante mucho tiempo un actor significativo en el ciberespacio, con vínculos presumidos con el Servicio de Inteligencia Exterior de Rusia (SVR). Su notoriedad alcanzó un punto crítico después del compromiso de la cadena de suministro del software SolarWinds, donde se cree que violaron varias agencias gubernamentales de los Estados Unidos. Sin embargo, su alcance ha ido más allá de este incidente, con ataques más recientes dirigidos incluso a gigantes tecnológicos como Microsoft.

En un incidente reciente, APT29 comprometió los buzones de correo corporativos de Microsoft, extrayendo correos electrónicos y documentos adjuntos valiosos. Esto ha sido parte de una tendencia más amplia, donde APT29 ha ampliado sus objetivos más allá de los sectores tradicionales como gobierno, salud y energía, para incluir aviación, educación, fuerzas del orden, gobiernos locales y estatales, departamentos financieros gubernamentales y organizaciones militares.

Lo más preocupante es que APT29 no solo ha expandido sus objetivos, sino que también ha adaptado sus tácticas, técnicas y procedimientos (TTP). Anteriormente, el grupo solía explotar vulnerabilidades de software para obtener acceso inicial, pero ahora están recurriendo a la fuerza bruta y la pulverización de contraseñas para acceder a cuentas de servicio y cuentas pertenecientes a ex empleados de organizaciones víctimas.

Estas cuentas de servicio, que a menudo tienen privilegios significativos, son un blanco atractivo para los actores de amenazas, ya que no están protegidas fácilmente con autenticación multifactor (MFA). Además, APT29 ha comenzado a utilizar tokens robados en lugar de contraseñas para acceder a las cuentas de las víctimas, lo que les permite eludir la MFA al participar en bombardeos y explotar la fatiga de MFA resultante.

Una vez dentro del entorno de la nube, APT29 ha sido observado registrando sus propios dispositivos como nuevos en el inquilino de la nube. Si no se establecen reglas de validación de dispositivos adecuadas, esto podría permitirles mantener el acceso a la red de forma persistente. Además, para encubrir su actividad, los actores de amenazas han recurrido al uso de servidores proxy residenciales, complicando aún más los esfuerzos de detección y respuesta.

Para protegerse contra estas amenazas cada vez más sofisticadas, las organizaciones deben adoptar una serie de mejores prácticas de seguridad. Esto incluye habilitar la autenticación multifactor (MFA) en todas las cuentas, utilizar contraseñas seguras y únicas, implementar el principio de privilegio mínimo, crear cuentas de servicio “canary” para una detección de compromisos más rápida, ajustar el tiempo de validez de los tokens emitidos por el sistema, restringir la inscripción de dispositivos solo a dispositivos autorizados y utilizar diversas fuentes de información para prevenir, detectar e investigar comportamientos inusuales.

En un panorama de amenazas en constante evolución, la ciberseguridad es una tarea que requiere vigilancia constante y una respuesta proactiva. Solo a través de la colaboración y la implementación de medidas de seguridad efectivas podemos defendernos contra los actores de amenazas cada vez más astutos y sofisticados que buscan infiltrarse en nuestros entornos digitales.

#Ciberseguridad? #APT29Alerta? #CiberespionajeRuso?️‍♂️ #FiveEyesAdvertencia? #SeguridadInformática? #MicrosoftHackeo? #EntornosDeNube☁️ #TécnicasDeAtaque?️ #MejoresPrácticasDeSeguridad? #PrevenciónDeAmenazas?️