Orientações para parceiros Microsoft sobre ataques direcionados do Nobelium
A Microsoft disponibilizou orientações para ajudar clientes e parceiros a se proteger contra atividades de estado-nação associadas a atores de ameaças rastreados como Nobelium. O Nobelium é o mesmo ator por trás do comprometimento da SolarWinds em 2020, e essa atividade mais recente compartilha os marcos da abordagem de comprometimento de um para muitos desse ator. A Microsoft notificou as organizações de que a Central de Inteligência contra Ameaças da Microsoft (MSTIC) observou-se direcionada ou comprometida pelo Nobelium por meio do nosso processo de notificação de estado-nação.
Para reduzir possíveis impactos dessa atividade do Nobelium, provedores de serviços na nuvem (CSP), provedores de serviços gerenciados (MSP) e outras organizações de serviços de TI que dependem de privilégios administrativos delegados (coletivamente, “provedores de serviços”) ou que receberam outros privilégios administrativos por clientes devem analisar as orientações abaixo e implementar mitigações para sua própria organização e seus clientes imediatamente.
A Microsoft observou que o Nobelium está direcionando contas privilegiadas de provedores de serviços para se mover lateralmente em ambientes de nuvem, aproveitando os relacionamentos técnicos confiáveis para ter acesso a clientes downstream e permitir ainda mais ataques ou acessar sistemas direcionados.
Esses ataques não são resultado de uma vulnerabilidade de segurança do produto, mas sim uma continuação do uso do Nobelium de um kit de ferramentas dinâmico e diversificado que inclui malware sofisticado, password sprays, ataques da cadeia de suprimentos, roubo de tokens, abuso de APIs e spear phishing para comprometer contas de usuário e aproveitar o acesso dessas contas. Esses ataques destacaram a necessidade de todos os administradores adotarem práticas rígidas de segurança de contas e tomarem medidas adicionais para proteger seus ambientes.
Nos ataques observados da cadeia de suprimentos, clientes downstream de provedores de serviços e outras organizações também estão sendo direcionados pelo Nobelium. Nesses relacionamentos entre clientes e provedores, um cliente delega direitos administrativos ao provedor para permitir que ele gerencie os locatários do cliente como se fosse um administrador na organização do cliente.
Ao roubar credenciais e comprometer contas no nível do provedor de serviços, o Nobelium pode tirar proveito de vários vetores potenciais, incluindo, entre outros, privilégios administrativos delegados (DAP), e aproveitar esse acesso para estender ataques downstream por meio de canais confiáveis como VPNs voltadas externamente ou soluções exclusivas de provedores e parceiros que permitem o acesso à rede.
Fonte: Microsoft