A CSA e o FBI conduziram de forma colaborativa vários tipos de análise sobre atividades de hackers. Houve especulações sobre atores de ameaças patrocinados pelo Estado russo e seus alvos sobre a Ucrânia e outras partes do mundo.
Recentemente, eles exploraram uma ONG que estava usando o Duo MFA da Cisco, que permitia o acesso a contas de e-mail e nuvem para roubar documentos.
O FBI também listou as etapas para mitigar, técnicas, táticas e procedimentos, indicadores de comprometimento que podem ser usados para proteger contra hackers patrocinados pelo Estado russo.
Como eles exploraram isso?
No início de maio de 2021, o FBI observou que os hackers patrocinados pelo Estado russo tinham como alvo uma ONG e exploraram uma falha nesse sistema relacionada ao MFA e para se mover dentro da rede.
Os hackers inicialmente obtiveram acesso à rede por meio de credenciais comprometidas. Mais tarde, eles se inscreveram em um novo dispositivo para a conta comprometida. Os hackers estavam usando técnicas de força bruta para extrair credenciais de uma conta. Contas com senhas muito simples e previsíveis foram comprometidas.
Devido à longa inatividade na conta comprometida, a MFA está desabilitada e, principalmente, as contas não foram removidas do diretório ativo. Os hackers aproveitaram essas contas e as assumiram.
Para escalonamento de privilégios, eles usaram uma vulnerabilidade conhecida chamada “PrintNightmare” e obtiveram acesso ao sistema.
Após aumentar os privilégios, eles conseguiram alterar o arquivo C:\windows\system32\drivers\etc\hosts para modificar o MFA. Eles redirecionaram o arquivo dos hosts e alteraram o IP do Duo Server para localhost .
Isso impediu a validação de dispositivos associados às contas. Outra coisa interessante é que o Duo tem um valor padrão como “Fail Open”. Isso desativou a autenticação MFA para o dispositivo durante a conexão com a VPN.
Assim que obtiveram acesso à Rede Privada Virtual, eles usaram o Protocolo de Área de Trabalho Remota para se conectar ao Controlador de Domínio do Windows. Eles usaram essas contas para se mover lateralmente pela organização.
Indicadores de Compromisso
Os processos a seguir podem indicar que os sistemas podem estar comprometidos.
- ping[.]exe
- regedit [.] exe
- rar [.] exe
- ntdsutil [.] exe
As modificações do arquivo de hosts incluem
127.0.0.1 api-<editado>.duosecurity [.] com
Foram identificados os seguintes endereços IP usados pelos agentes de ameaças.
- 45.32.137[.]94
- 191.96.121[.]162
- 173.239.198[.]46
- 157.230.81[.]39
Mitigações
O FBI publicou as etapas completas para mitigar e verificar se há contas comprometidas. Alguns deles são
- Habilitando a MFA para todos os usuários o mais rápido possível
- Configurar novas políticas para "falha aberta"
- Certifique-se de remover todas as contas presumivelmente desativadas.
- Atualize todo o software e patches
- Monitorar para log suspeito
- Não permitir que os funcionários usem as mesmas credenciais de login em muitas contas.