Ciberespiões focam-se em contas adormecidas para atacar infraestruturas cloud

Cibergrupos de espionagem russos estão a adaptar-se ao movimento das organizações para a cloud e a focar-se em atacar este tipo de serviços. O alerta foi lançado por agências de cibersegurança dos Estados Unidos, Canadá, Reino Unido, Austrália e Nova Zelândia.

Os cinco países alertam as organizações para as mais recentes táticas, técnicas e procedimentos associados com o cibergrupos conhecido por APT29 (ou Cozy Bear ou Midnight Blizzard), um cibergrupos com ligações aos serviços de inteligência russo.

Em vez de explorar vulnerabilidades para corromper infraestruturas on-premises, o cibergrupos tem sido a observar a lançar ataques de força bruta e password spraying em contas de serviço comprometidas, assim como a focar-se em contas adormecidas de antigos empregados, para aceder ao ambiente da organização alvo.

O cibergrupos também tem sido observado a utilizar tokens para aceder às contas da vítima e a procurar ultrapassar autenticação multifator através de técnicas conhecidas por “MFA bombing” e “fadiga de MFA”. Após o acesso inicial, os atacantes tipicamente registam os seus próprios dispositivos na rede da vítima e implementam ferramentas para continuar o ataque.