Los actores de amenazas detrás de una campaña de ciberespionaje generalizada que involucraba el software SolarWinds Orion armado utilizaron técnicas comunes de piratas informáticos para violar objetivos además de métodos más sofisticados, según una actualización de la alerta de la Agencia de Seguridad de Infraestructura y Ciberseguridad.
“Con frecuencia, CISA ha observado que el actor de APT obtiene acceso inicial a las redes empresariales de las víctimas a través de productos SolarWinds Orion comprometidos (por ejemplo, Solorigate, Sunburst). Sin embargo, CISA está investigando casos en los que el actor de la amenaza puede haber obtenido acceso inicial adivinando contraseñas, rociando contraseñas y / o explotando credenciales administrativas o de servicio protegidas de manera inapropiada (credenciales no garantizadas) en lugar de utilizar los productos SolarWinds Orion comprometidos ”, dijo la agencia .
“CISA observó a este actor de amenazas pasar del contexto del usuario a los derechos de administrador para la intensificación de privilegios dentro de una red comprometida y utilizando herramientas y técnicas nativas de Windows, como Windows Management Instrumentation (WMI), para enumerar el certificado de Microsoft Active Directory Federated Services (ADFS). capacidad de firma. Esta enumeración permite a los actores de amenazas falsificar tokens de autenticación (OAuth) para emitir reclamos a los proveedores de servicios, sin que esos reclamos se verifiquen con el proveedor de identidad, y luego moverse lateralmente a entornos de Microsoft Cloud (movimiento lateral) ”, continúa la alerta.
En un informe publicado a finales de diciembre, Microsoft dijo que el objetivo principal de los atacantes detrás de la operación de la cadena de suministro de SolarWinds era obtener acceso a la infraestructura alojada en la nube, que en muchos casos eran los propios entornos Azure y Microsoft 365 de la empresa.
En su asesoramiento, CISA también proporcionó ejemplos de herramientas de detección de código abierto para investigar la actividad del adversario en entornos de nube de Microsoft y para detectar actividad inusual, directores de servicio y actividad de aplicaciones, incluido Sparrow de CISA, la utilidad de código abierto Hawk y la herramienta de informes Azure de CrowdStrike ( CRT).
![](https://www.pinterest.com/pin/create/button/?url=https://seguridad-firewall.blogspot.com/2021/01/delincuentes-adivinaron-las-contrasenas.html&media=https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgla3ycoWy3R3MUnJsAdrpkV5qga-vSE0-3ypROqefBsedKva9KtnA2-83SayzPp13cjylgUxysTVW7ieaxxYiyI4ckVtQj3QBOvFeTZs_ROZcTo3ljOLCLqSBDJH95Je2lxQc96QgLv__S/w640-h320/pasted+image+0.png&description=Delincuentes "Adivinaron" las contraseñas de SolarWinds para ingresar a sus sistemas){kind=link}