Los ciberataques dirigidos a Active Directory van en aumento, lo que presiona a los equipos de AD, identidad y seguridad para que vigilen el panorama de amenazas centradas en AD, que cambia constantemente. Para ayudar a los profesionales de TI a entender mejor y protegerse contra los ataques que involucran AD, el equipo de investigación de Semperis ofrece este resumen mensual de los ciberataques recientes que utilizaron AD para introducir o propagar malware.
Este mes, el equipo de investigación de Semperis destaca a los atacantes que utilizan Bumblebee Loader para explotar los servicios de Active Directory, un grupo de amenazas iraní que explota Log4j en una campaña contra Israel, un fallo de Windows que podría permitir a los atacantes comprometer los controladores de dominio, y mucho más.
Los atacantes utilizan el cargador Bumblebee para explotar los servicios de Active Directory
Los actores de amenazas están utilizando el cargador Bumblebee para llevar a cabo la escalada de privilegios, el reconocimiento y el robo de credenciales en las redes objetivo. A continuación, los ciberdelincuentes utilizan las credenciales robadas de un usuario con privilegios elevados para acceder a Active Directory.
El grupo de amenazas Nobelium utiliza la capacidad MagicWeb para mantener el acceso a los sistemas comprometidos
El grupo de amenazas responsable del ataque a SolarWinds ha ideado una forma de mantener la persistencia en entornos comprometidos mediante una capacidad denominada MagicWeb. Tras obtener acceso a credenciales altamente privilegiadas y moverse lateralmente para obtener privilegios en un sistema Active Directory Federated Services (ADFS), Nobelium utiliza MagicWeb para crear una puerta trasera. Las amenazas también pueden utilizar MagicWeb para infiltrarse en Azure AD.
Ataques iraníes utilizan Log4j en una campaña contra Israel
Un grupo de amenazas iraní conocido como MuddyWater y Mercury está explotando la vulnerabilidad Log4j para comprometer redes corporativas israelíes. El grupo utiliza los fallos de Log4j para acceder a los sistemas, luego eleva los privilegios y utiliza Mimikatz para seguir recogiendo credenciales de los controladores de dominio de Active Directory.
Un fallo de Windows podría permitir a los atacantes hacerse con el control de los centros de distribución
Una vulnerabilidad (CVE-2022-30216) en las llamadas a procedimientos remotos (RPC) para el servicio Windows Server podría permitir a los ciberdelincuentes hacerse con el control de los controladores de dominio (DC) -incluidos servicios y datos- en configuraciones de red específicas.
Un grupo de ransomware apunta a Active Directory para desplegar programas maliciosos
El grupo de ransomware Agenda ha atacado sistemas basados en Windows en ataques contra organizaciones sanitarias y educativas en Indonesia, Arabia Saudí, Sudáfrica y Tailandia. Agenda utiliza credenciales filtradas para acceder a Active Directory, instalar herramientas de análisis, crear objetos de directiva de grupo y desplegar ransomware en máquinas de toda la red.
Un grupo APT chino ataca a organizaciones militares y de investigación con ataques relacionados con la identidad
Al centrarse en vulnerabilidades conocidas y utilizar técnicas de evasión de detección conocidas, un grupo APT chino ha lanzado campañas contra organizaciones militares y de investigación que implican comprometer controladores de dominio y realizar ataques Kerberoasting en Active Directory.
Un grupo APT ruso ataca cuentas de Microsoft 365 para comprometer Azure AD
El grupo de amenazas ruso CozyBear (también conocido como APT29 y Nobelium) ha atacado cuentas de Microsoft 365 en campañas de espionaje contra países de la OTAN. El grupo aprovecha el proceso de autoinscripción para la autenticación multifactor (MFA) en Azure Active Directory para realizar ataques de fuerza bruta contra nombres de usuario y contraseñas.