[ad_1]
Mientras acechaba a su objetivo, GruesomeLarch realizó ataques de relleno de credenciales que comprometieron las contraseñas de varias cuentas en una plataforma de servicios web utilizada por los empleados de la organización. Sin embargo, la autenticación de dos factores aplicada en la plataforma impidió que los atacantes comprometieran las cuentas.
Entonces GruesomeLarch encontró dispositivos en ubicaciones físicamente adyacentes, los comprometió y los usó para sondear la red Wi-Fi del objetivo. Resultó que las credenciales para las cuentas de servicios web comprometidas también funcionaban para cuentas en la red Wi-Fi, solo que no se requería 2FA.
Para añadir aún más floritura, los atacantes piratearon uno de los dispositivos vecinos habilitados para Wi-Fi explotando lo que a principios de 2022 era un vulnerabilidad de día cero en la cola de impresión de Microsoft Windows.
El truco de 2022 demuestra cómo una sola suposición errónea puede deshacer una defensa que de otro modo sería eficaz. Por alguna razón (probablemente una suposición de que 2FA en la red Wi-Fi era innecesaria porque los ataques requerían una proximidad cercana), el objetivo implementó 2FA en la plataforma de servicios web de conexión a Internet (Adair no dice de qué tipo), pero no en la red Wi-Fi. Red Fi. Ese único descuido finalmente torpedeó una sólida práctica de seguridad.
Los grupos de amenazas persistentes avanzadas como GruesomeLarch (una parte del GRU APT, mucho más grande, con nombres que incluyen Fancy Bear, APT28, Forrest Blizzard y Sofacy) se destacan en encontrar y explotar este tipo de descuidos.
Volixity correo La descripción del ataque de 2022 proporciona muchos detalles técnicos sobre el compromiso de los numerosos eslabones de este sofisticado flujo de ataque en cadena. También hay consejos útiles para proteger las redes contra este tipo de compromisos.
[ad_2]
Enlace fuente
