Las agencias de inteligencia y aplicación de la ley en Australia, Canadá y los EE. UU. advirtieron sobre una campaña de un año de duración respaldada por Irán durante la cual los piratas informáticos utilizaron la fuerza bruta y otras técnicas para comprometer organizaciones en múltiples sectores de infraestructura crítica.
El aviso conjunto dijo que la campaña se identificó por primera vez como activa en octubre de 2023 y se dirigió a múltiples sectores de infraestructura crítica, incluidos la atención médica, el gobierno, la tecnología de la información, la ingeniería y la energía.
Antes de obtener acceso a sus víctimas, los actores de amenazas cibernéticas probablemente llevaron a cabo operaciones de reconocimiento para recopilar información sobre la identidad de las víctimas.
Una vez obtenidos, los actores obtuvieron acceso persistente a las redes de las víctimas utilizando cuentas de correo electrónico válidas de usuarios y grupos, obtenidas frecuentemente mediante técnicas de ataque de fuerza bruta, como la pulverización de contraseñas y otros métodos, para obtener acceso inicial a los sistemas Microsoft 365, Azure y Citrix.
En algunos casos en los que se habilitó la autenticación multifactor (MFA) basada en notificaciones push, los actores envían solicitudes de MFA a usuarios legítimos en busca de la aceptación de la solicitud. Esta técnica (bombardear a los usuarios con notificaciones push de teléfonos móviles hasta que el usuario apruebe la solicitud por accidente o detenga las notificaciones) se conoce como “fatiga de MFA” o “bombardeo push de MFA”.
Una vez que obtuvieron acceso a la red de una víctima, los actores utilizaron varios métodos comunes, como aprovechar el Protocolo de escritorio remoto (RDP), el nombre principal del servicio Kerberos (SPN) o Microsoft Active Directory para realizar movimientos laterales, escalada de privilegios y recopilación de credenciales.
El asesoramiento conjunto compartió algunas medidas que las organizaciones pueden tomar para detectar esta campaña.
Entre ellas se incluyen:
- Buscar “inicios de sesión imposibles”, como inicios de sesión sospechosos con nombres de usuario, cadenas de agente de usuario y combinaciones de direcciones IP cambiantes o inicios de sesión en los que las direcciones IP no coinciden con la ubicación geográfica esperada del usuario.
- Buscar una IP utilizada para varias cuentas, excluyendo los inicios de sesión esperados.
- Buscar “viajes imposibles”. Los viajes imposibles se producen cuando un usuario inicia sesión desde varias direcciones IP con una distancia geográfica significativa (es decir, una persona no podría viajar de manera realista entre las ubicaciones geográficas de las dos direcciones IP durante el período entre los inicios de sesión).
- Buscar registros de MFA con MFA en lugares inesperados o desde dispositivos desconocidos.
- Buscar procesos y argumentos de línea de comandos de ejecución de programas que puedan indicar un volcado de credenciales, especialmente intentos de acceder o copiar el archivo ntds.dit desde un controlador de dominio.
- Buscar usos sospechosos de cuentas privilegiadas después de restablecer contraseñas o aplicar mitigaciones de cuentas de usuario.
- Buscar actividad inusual en cuentas que normalmente están inactivas.
- Buscar cadenas de agente de usuario inusuales, como cadenas que normalmente no se asocian con la actividad normal del usuario, que pueden indicar actividad de bots.
Las agencias de inteligencia y de aplicación de la ley también compartieron algunas recomendaciones para mitigar esta amenaza.
Éstas incluyen:
- Revisar la gestión de contraseñas del servicio de asistencia de TI relacionada con las contraseñas iniciales, los restablecimientos de contraseñas para bloqueos de usuarios y cuentas compartidas.
- Deshabilitar las cuentas de usuario y el acceso a los recursos de la organización para el personal que se va
- Implementar una MFA resistente a la suplantación de identidad
- Revisar continuamente las configuraciones de MFA para garantizar la cobertura de todos los protocolos activos que dan a Internet para garantizar que no se expongan servicios explotables
- Brindar capacitación básica en ciberseguridad a los usuarios
- Garantizar que las políticas de contraseñas se alineen con las últimas pautas de identidad digital del NIST
- Deshabilitar el uso de RC4 para la autenticación Kerberos
El 16 de octubre, el FBI, la NSA, la Agencia de Seguridad de Infraestructura y Ciberseguridad de los EE. UU. (CISA), el Communications Security Establishment Canada (CSE), la Policía Federal Australiana (AFP) y el Centro Australiano de Seguridad Cibernética (ACSC) firmaron el aviso conjunto.