Microsoft advierte de los continuos ataques a la cadena de suministro por parte del grupo de hackers “Nobelium”
AS-104-2021
Fecha: 26/10/2021
Resumen:
Nobelium, es el grupo de hacker que estuvo detrás del ataque a SolarWinds en diciembre del 2020.
Entre el 1 de julio y el 19 de octubre de 2021, se dice que Nobelium señaló a 609 clientes, que fueron atacados colectivamente un total de 22.868 veces.
Descripción del ataque
Tom Burt, vicepresidente corporativo de seguridad y confianza del cliente de Microsoft, en resumen dijo que este es un mecanismo para vigilar objetivos de interés para el gobierno de Rusia. Los ataques permiten movimiento lateral que no está relacionada con ninguna vulnerabilidad del software. El ataque consiste en aprovecharse del robo de credenciales, malware, abuso de las relaciones de confianza entre proveedores, entre otros.
Agregó Burt, en total, más de 600 clientes de Microsoft fueron atacados miles de veces, aunque con una tasa de éxito muy baja entre julio y octubre.
Recomendaciones
Como mitigaciones, Microsoft recomienda a las empresas que habiliten la autenticación multifactor(MFA) y auditen los privilegios administrativos delegados (DAP) para evitar cualquier posible uso indebido de permisos elevados.
Referencias:
https://blogs.microsoft.com/on-the-issues/2021/10/24/new-activity-from-russian-actor-nobelium/
https://www.bankinfosecurity.com/report-solarwinds-hackers-targeting-supply-chain-a-17793
https://www.cyberscoop.com/russian-hackers-microsoft-government-breach/
https://www.hackread.com/solarwinds-hackers-nobelium-hit-cloud-providers/
https://securityintelligence.com/posts/nobelium-espionage-campaign-persists/
https://www.helpnetsecurity.com/2021/10/25/targeting-service-providers/
https://securityaffairs.co/wordpress/123754/apt/nobelium-apt-it-supply-chain.html
https://www.theregister.com/2021/10/25/nobelium_russia_svr_msp_warning_microsoft/
FIRST
