Descripción de la Tecnica
Cloud Groups es una técnica de ciberseguridad asociada al marco MITRE ATT&CK, que describe cómo actores maliciosos intentan identificar grupos y configuraciones de permisos en entornos basados en la nube. Esta acción permite a los atacantes determinar roles específicos de usuarios y grupos dentro de un entorno, así como asociar usuarios con un grupo particular. La comprensión de estas estructuras de permisos puede facilitar el acceso no autorizado o la explotación de privilegios.
Como Funciona
Los actores maliciosos pueden utilizar herramientas y técnicas para explorar grupos de permisos en plataformas cloud, como Microsoft 365 o Exchange. Por ejemplo, el comando Get-MsolRole en PowerShell es un método conocido que permite a los atacantes obtener información sobre roles y grupos de permisos asociados a cuentas de Office 365. Este proceso puede ser parte de una estrategia más amplia para mapear la infraestructura de la nube y identificar oportunidades de acceso no autorizado.
Actores que la Utilizan
MITRE ATT&CK no especifica actores particulares asociados a esta técnica, pero su naturaleza sugiere que podría ser utilizada por amenazas avanzadas o grupos con objetivos de ciberdelación. La técnica se enmarca dentro del contexto de la exploración de entornos cloud, lo que la vincula con amenazas que buscan aprovechar estructuras de permisos para ganar acceso a sistemas críticos.
Detección
La detección de esta técnica requiere monitoreo de actividades anómalas relacionadas con grupos y permisos en la nube. Se pueden identificar patrones como consultas no autorizadas a roles o grupos, cambios inusuales en configuraciones de permisos, o el uso de herramientas como Get-MsolRole en contextos no autorizados. La auditoría regular de privilegios y la vigilancia de accesos no registrados son medidas clave.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar el riesgo asociado a esta técnica, se recomienda: - Revisar periódicamente las configuraciones de permisos en la nube y asegurar que los grupos no tengan privilegios excesivos. - Limitar el acceso a herramientas como PowerShell o APIs de gestión de roles solo para usuarios con necesidades específicas. - Implementar monitoreo de actividades anómalas en entornos cloud, incluyendo auditorías de permisos y registros de accesos. - Utilizar políticas de acceso basadas en el principio de least privilege (PLP) para minimizar oportunidades de explotación.