A Microsoft detalhou como um grupo sofisticado de hackers consegue passar de uma senha de nuvem quebrada para o controle total da rede em menos de uma semana.

"Todos os dias, vemos atacantes montar uma ofensiva contra organizações-alvo por meio da nuvem e vários outros vetores de ataque com o objetivo de encontrar o caminho de menor resistência, expandir rapidamente a base de apoio e obter controle de informações e ativos valiosos", "Threat Protection Intelligence da Microsoft". A equipe disse que, ao detalhar um tipo de ataque particularmente sofisticado, eles estão monitorando e defendendo os clientes.

Em particular, a equipe da Microsoft identificou o grupo que chama Holmium como um dos mais eficazes no uso de vetores de ataque baseados em nuvem de todos aqueles - incluindo crime organizado e hackers apoiados pelo Estado-nação - que ele rastreia.

Também conhecido como ATP33, StoneDrill e Elfin, esse grupo está amplamente vinculado ao Irã e vem realizando espionagem e ataques destrutivos contra empresas aeroespaciais, de defesa, químicas, de mineração e petroquímica há vários anos.

Os pesquisadores da Microsoft disseram que o Holmium usa várias maneiras de obter acesso aos seus alvos, incluindo e-mails com spear-phishing e tentativas de usar listas de senhas conhecidas para invadir contas - uma técnica conhecida como 'pulverização de senha'.

Mas muitos dos ataques recentes de Holmium envolveram uma ferramenta de teste de penetração chamada Ruler, usada juntamente com credenciais comprometidas do Exchange. Os pesquisadores disseram que o grupo de hackers realiza ataques baseados em nuvem com o Ruler desde 2018, com outra onda de ataques no primeiro semestre de 2019.

Esses ataques geralmente começaram com a pulverização de senhas 'intensiva' na infraestrutura exposta dos Serviços de Federação do Active Directory; as organizações que não estavam usando autenticação multifatorial tinham um risco maior de comprometer as contas, observou a Microsoft.

Armado com algumas contas do Office 365, o grupo lançou a próxima etapa com o Ruler, que lhes dá controle sobre o PC - que pode ser usado pelos hackers para explorar ainda mais.

"Depois que o grupo assumiu o controle do endpoint (além da identidade da nuvem), a próxima fase foram horas de exploração da rede da vítima", afirmou a Microsoft.

Isso envolvia encontrar mais contas de usuário e PCs para atacar a rede.

Esses ataques normalmente demoravam menos de uma semana entre o acesso inicial via nuvem e a obtenção de "acesso sem impedimentos e comprometimento total do domínio", afirmou a Microsoft. Esse acesso permitiu que os invasores permanecessem na rede por longos períodos de tempo, às vezes por meses a fio.

Durante esses ataques, muitas organizações-alvo reagiram tarde demais - por exemplo, quando as atividades maliciosas começaram a se manifestar nos terminais por meio de comandos do PowerShell e subsequente comportamento do movimento lateral, alertaram os pesquisadores.

"Os estágios anteriores do ataque, como eventos na nuvem e atividades de pulverização de senha, eram muitas vezes perdidos ou às vezes não estavam relacionados a atividades observadas no endpoint. Isso resultava em lacunas na visibilidade e, posteriormente, correção incompleta", disseram os pesquisadores, observando que o pacote de proteção contra ameaças da Microsoft foi capaz de se defender contra esses ataques.

"Os dados corporativos são espalhados por vários aplicativos - no local e na nuvem - e acessados ​​pelos usuários de qualquer lugar usando qualquer dispositivo. Com as superfícies tradicionais em expansão e os perímetros da rede desaparecendo, novos cenários e técnicas de ataque são introduzidos", alertou a Microsoft.

Fonte: ZDnet, Microsoft.