El grupo de amenazas persistentes avanzadas (APT) con sede en Rusia rastreado de diversas formas como Cozy Bear, Nobelium, APT29 y Cloaked Ursa está incorporando servicios legítimos de almacenamiento en la nube en su cadena de ataque para hacer que sus ataques sean más difíciles de detectar y proteger para los defensores, según nueva inteligencia compartida. hoy por cazadores de amenazas en la Unidad 42 de Palo Alto Networks.
En un aviso recientemente publicado, los investigadores Mike Harbison y Peter Renals describieron cómo, cuando se combina con el cifrado, la explotación de servicios en la nube confiables hace que sea “extremadamente difícil” para las organizaciones detectar actividades maliciosas.
Señalan que el uso de servicios en la nube legítimos y confiables no es nuevo en la metodología de Cozy Bear, pero que su reciente incorporación de los servicios de DropBox y Google Drive a su arsenal (observada en varias campañas recientes) debería ser motivo de especial preocupación para varios de razones
“Desde principios de mayo [2022]Cloaked Ursa ha seguido desarrollando sus capacidades para entregar malware utilizando servicios populares de almacenamiento en línea”, escribieron los investigadores.
“Sus dos campañas más recientes demuestran su sofisticación y su capacidad para ofuscar la implementación de su malware mediante el uso de los servicios de DropBox y Google Drive. Esta es una nueva táctica para este actor y resulta difícil de detectar debido a la naturaleza ubicua de estos servicios y al hecho de que millones de clientes en todo el mundo confían en ellos.
“Animamos a todas las organizaciones a revisar sus políticas de correo electrónico y los IoC [indicators of compromise] proporcionados en este informe para hacer frente a esta amenaza”.
La metodología precisa utilizada en las dos campañas observadas y analizadas por la Unidad 42 varía ligeramente, pero en términos generales, estaban dirigidas a misiones diplomáticas occidentales ubicadas en Brasil y Portugal, apuntando a un país no revelado de la OTAN con una supuesta agenda para una próxima reunión con el embajador. .
De hecho, el documento adjunto, Agenda.pdf, pedía a los servicios de almacenamiento en la nube que recuperaran EnvyScout, una herramienta utilizada para descifrar el malware secundario, en este caso un archivo ISO malicioso, Agenda.iso, que a su vez condujo a la descarga de bibliotecas de enlaces dinámicos (DLL) maliciosos, toda la cadena finalmente conduce a esa perenne herramienta APT resistente, Cobalt Strike.
Aparentemente, esta no es la primera vez que Cozy Bear se apoya en el servicio diplomático de Portugal como señuelo. El mismo país objetivo de las últimas campañas fue atacado de esta manera en enero, casi al mismo tiempo que la campaña de malware WhisperGate contra Ucrania.
Según los investigadores de Cluster25, que también han estado rastreando campañas similares de Cozy Bear, otros países objetivo pueden haber incluido Grecia, Italia y Turquía.
El equipo de Cluster25 agregó que las campañas mostraron claramente un fuerte enfoque de Cozy Bear en operar bajo el radar y evitar que sus ataques sean detectados durante un período de tiempo considerable.
Al comentar sobre las dos campañas observadas, Garret Grajek, director ejecutivo de YouAttest, un proveedor de soluciones de auditoría de identidad basadas en la nube, dijo: “La Unidad 42 informó anteriormente que el 92% de las configuraciones de la nube tienen permisos de identidad desalineados, por lo que el hecho de que Google Drive esté bajo El ataque no debería sorprender a nadie.
“La mayoría de las aplicaciones y los datos están en la nube hoy en día y, por lo tanto, los atacantes saben que es allí donde deben apuntar sus exploits. Se debe prestar toda la atención a estos recursos para protegerse contra estos ataques enfocados. La identidad es la construcción más importante para proteger los recursos de la nube de hoy y debe aprovisionarse y revisarse con cuidado y automatización”.
Más información técnica sobre las campañas y otros detalles, como los IoC, están disponibles en la Unidad 42.
