APT28 se atualiza rapidamente para aproveitar onda de roubos de credenciais Office365
O grupo de ameaças vinculado à Rússia está colhendo credenciais para a oferta de nuvem da Microsoft e visando principalmente organizações relacionadas a eleições.
O grupo de ameaças vinculado à Rússia conhecido como APT28 mudou suas táticas para incluir a quebra de senhas do Office 365 e a coleta de credenciais.
Os pesquisadores da Microsoft vincularam o APT28 (também conhecido como Strontium, Sofacy ou Fancy Bear) a esse padrão recém-descoberto de atividade do O365, que começou em abril e está em andamento. Os ataques visam principalmente as organizações dos EUA e do Reino Unido diretamente envolvidas nas eleições políticas.
O APT costuma trabalhar para obter credenciais válidas a fim de montar campanhas de espionagem ou mover-se lateralmente por meio de redes – na verdade, a telemetria da Microsoft mostra que o grupo lançou ataques de coleta de credenciais contra dezenas de milhares de contas em mais de 200 organizações entre setembro e junho do ano passado . Entre 18 de agosto e 3 de setembro, o grupo (sem sucesso) teve como alvo 6.912 contas do O365 pertencentes a 28 organizações.
“Nem todas as organizações visadas eram relacionadas a eleições”, explicou a empresa, em um blog postado na sexta-feira. “No entanto, achamos importante destacar uma potencial ameaça emergente para as Eleições Presidenciais dos EUA de 2020 e futuras disputas eleitorais no Reino Unido”
A atividade se encaixa com outras descobertas recentes da Microsoft de que, poucos meses antes da eleição presidencial dos EUA, hackers da Rússia, China e Irã estão aumentando os ataques de phishing e malware contra funcionários da campanha. Deve-se notar que o APT28 é amplamente visto como responsável pela intromissão nas eleições de 2016 e pelo ataque ao Comitê Nacional Democrata (inclusive pelo governo dos EUA).
Fazendo a “colheita” de outono
Embora o APT28 tenha se baseado fortemente no spear-phishing em seus esforços de coleta de credenciais para a eleição presidencial de 2016, desta vez está se voltando para força bruta e pulverização de senha.
“Essa mudança de tática, também feita por vários outros atores do Estado-nação, permite que eles executem operações de coleta de credenciais em grande escala de uma forma mais anônima”, de acordo com a Microsoft. “A ferramenta Strontium está usando rotas de suas tentativas de autenticação por meio de um pool de aproximadamente 1.100 IPs, a maioria associada ao serviço de anonimato Tor.”
Esse pool de infraestrutura – o “ferramental” – é bastante fluido e dinâmico, segundo a pesquisa, com uma média de aproximadamente 20 IPs adicionados e retirados dele por dia. Os ataques utilizaram uma média diária de 1.294 IPs associados a 536 netblocks e 273 ASNs; e as organizações geralmente veem mais de 300 tentativas de autenticação por hora, por conta de destino, ao longo de várias horas ou dias.
“As ferramentas do Strontium alternam suas tentativas de autenticação entre esse pool de IPs aproximadamente uma vez por segundo”, disseram os pesquisadores da Microsoft. “Considerando a amplitude e a velocidade desta técnica, parece provável que o Strontium adaptou suas ferramentas para usar um serviço de anonimato para ofuscar sua atividade, evitar o rastreamento e evitar a atribuição.”
APT28 também foi observado usando senha de spray – uma ligeira torção nos esforços de força bruta de alto volume descritos acima.
“O conjunto de ferramentas tenta combinações de nome de usuário / senha de uma maneira ‘baixa e lenta’”, explicaram os pesquisadores da Microsoft. “As organizações visadas pelas ferramentas em execução neste modo normalmente veem aproximadamente quatro tentativas de autenticação por hora por conta direcionada ao longo de vários dias ou semanas, com quase todas as tentativas originadas de um endereço IP diferente”.
Visão geral da atividade. Fonte: Microsoft
De modo geral, as organizações visadas por esses ataques viram tentativas de autenticação generalizadas em todas as suas bases, com uma média de 20 por cento do total de contas sofrendo um ataque.
“Em alguns casos … o ferramental pode ter descoberto essas contas simplesmente tentando autenticações contra um grande número de nomes de contas possíveis até encontrar aqueles que eram válidos”, de acordo com o gigante da computação.
APT28 – que se acredita estar ligado à inteligência militar russa – atacou mais de 200 organizações este ano, incluindo campanhas políticas, grupos de defesa, partidos e consultores políticos, observou a Microsoft. Isso inclui grupos de reflexão como o Fundo Marshall Alemão dos Estados Unidos, o Partido Popular Europeu e vários consultores sediados nos Estados Unidos ao serviço de republicanos e democratas. Organizações e indivíduos podem se proteger aplicando autenticação multifator (MFA) e monitorando ativamente as autenticações com falha para o serviço de nuvem.
“Existem algumas etapas muito simples que as empresas e os indivíduos-alvo podem seguir para melhorar significativamente a segurança de suas contas e tornar esses tipos de ataques muito mais difíceis”, observou a Microsoft.
Fonte: https://threatpost.com/apt28-theft-office365-logins/159195/
