El grupo de amenazas persistentes avanzadas (APT) vinculado a la inteligencia rusa, rastreado de diversas formas como Cozy Bear, APT29 o Nobelium, entre otros nombres, ha adoptado una variedad de tácticas, técnicas y procedimientos (TTP) más nuevos dirigidos a los entornos de Microsoft 365, según la nueva inteligencia publicada. por Mandiant.
El equipo de Mandiant dijo que el grupo ha sido extremadamente prolífico en los últimos meses, particularmente en la selección de organizaciones “responsables de influir y elaborar la política exterior de los países de la OTAN”. Dijeron que la persistencia y la agresividad de Cozy Bear eran “indicativas de… tareas estrictas por parte del gobierno ruso”.
Según el investigador Douglas Bienstock, uno de los nuevos TTP de Cozy Bear incluye la desactivación de elementos de las licencias de Microsoft 365 de sus objetivos para ocultar su orientación.
Microsoft utiliza una variedad de modelos de licencias para controlar el acceso de los usuarios a los servicios dentro del conjunto de productos 365. Algunos de estos pueden dictar la configuración de seguridad y cumplimiento dentro del servicio de auditoría de Microsoft Purview.
Microsoft Purview Audit es una herramienta de investigación forense y de cumplimiento que es muy problemática para los actores de amenazas porque permite la auditoría de elementos de correo accedidos, que registra y registra datos como cadenas de agentes de usuario, marcas de tiempo, direcciones IP y usuarios cada vez que se envía un elemento de correo. accedido, y es una fuente de registro fundamental para que los profesionales de la seguridad determinen si un buzón en particular se ha visto comprometido.
Bienstock dijo que había observado que Cozy Bear deshabilitaba Purview Audit en cuentas específicas dentro de un inquilino comprometido para apuntar a la bandeja de entrada para la recopilación de correo electrónico.
“En este punto, no hay registro disponible para la organización para confirmar a qué cuentas se dirigió el actor de amenazas para la recopilación de correo electrónico y cuándo”, dijo Bienstock en su artículo.
“Dada la orientación y los TTP de APT29, Mandiant cree que la recopilación de correo electrónico es la actividad más probable después de la desactivación de Purview Audit.
“Hemos actualizado nuestro libro blanco Estrategias de corrección y refuerzo para Microsoft 365 para incluir más detalles sobre esta técnica, así como consejos de detección y remediación. Además, hemos actualizado Azure AD Investigator con un nuevo módulo para informar sobre usuarios con auditoría avanzada deshabilitada”.
Pero este no es el único truco bajo la manga de Cozy Bear. Bienstock dijo que su equipo también comenzó a observar al grupo tratando de aprovechar el proceso de autoinscripción para la autenticación multifactor (MFA) dentro de Azure Active Directory (y otras plataformas).
Esta técnica aprovecha el hecho de que la configuración predeterminada de Azure AD carece de una aplicación estricta en las nuevas inscripciones de MFA, lo que significa que cualquier persona con un nombre de usuario y una contraseña válidos puede acceder a una cuenta desde cualquier ubicación y cualquier dispositivo para inscribirse, siempre que sea la primera persona en hacerlo. asi que.
En un incidente observado por el equipo, Cozy Bear usó contraseñas de fuerza bruta en una lista de buzones que habían obtenido y pudo descifrar con éxito la contraseña de una cuenta que se había configurado pero que no se usaba. Debido a que esta cuenta estaba inactiva, Azure AD solicitó al actor de amenazas que se inscribiera en MFA como usuario legítimo y esto, a su vez, les dio acceso a la infraestructura VPN de la organización de destino que usaba Azure AD para autenticación y MFA.
Bienstock dijo que recomendó a las organizaciones que se aseguren de que todas las cuentas activas tengan al menos un dispositivo MFA inscrito y trabajen con sus proveedores para agregar más verificación al proceso de inscripción.
Microsoft tiene herramientas para este efecto que están disponibles para los usuarios de Azure AD, y se deben usar para aplicar controles más estrictos sobre quién puede configurar MFA, como exigir que el usuario esté en una ubicación o dispositivo de confianza, o requerir que MFA inscríbase en MFA, aunque esto requiere algunos trucos con credenciales de acceso temporal para evitar una situación de huevo y gallina.
En otras áreas, Cozy Bear continúa exhibiendo “tácticas de evasión y opsec excepcionales”, como operar desde sus propias máquinas virtuales (VM) de Azure que compró o comprometió de alguna manera, por lo que su actividad ahora emana de direcciones IP confiables de Microsoft. y es menos probable que levante banderas rojas.
También se ha observado que el grupo mezcla algunas acciones de administración benignas entre las maliciosas para confundir a cualquiera que pueda estar tras su rastro.
En una investigación reciente de Mandiant, se descubrió que Cozy Bear obtuvo acceso a una cuenta de administrador global en Azure AD y la usó para hacer una puerta trasera a un principal de servicio para recopilar correo electrónico de buzones específicos. Hizo esto agregando una nueva credencial de clave a la entidad principal del servicio, pero en el proceso también creó un certificado con un nombre común (CN) que coincidía con el nombre para mostrar de la entidad principal del servicio con puerta trasera, y le agregó una nueva dirección URL de la aplicación.
Bienstock dijo que no era necesario que Cozy Bear hubiera tomado esos pasos finales para facilitar su ataque de ninguna manera. “Esto… demuestra el altísimo nivel de preparación que toma APT29 y hasta qué punto tratan de enmascarar sus acciones como legítimas”, dijo.
