book_icon

Trend Micro descobre novo tipo de ataque multicamada

Um agente malicioso lançou um ataque furtivo em várias camadas, que primeiro explorou uma vulnerabilidade de endpoint como um caminho para o movimento lateral

Trend Micro descobre novo tipo de ataque multicamada

A equipe do Trend Micro Managed XDR (MDR) abordou recentemente um incidente encontrado por um de seus clientes. Ele mostrou como um agente malicioso lançou um ataque furtivo em várias camadas, que primeiro explorou uma vulnerabilidade de endpoint como um caminho para o movimento lateral. Da instalação de um web shell no servidor de Nuvem comprometido por meio de uma exploração do ProxyShell, o ataque persistente progrediu para o uso de ferramentas legítimas de acesso remoto, incluindo o Remote Desktop Protocol (RDP) como seu meio final de invasão.

A complexidade dos ataques tornou ainda mais desafiador para a equipe de segurança e os pesquisadores de ameaças analisar a cadeia de eventos

Primeiro foi encontrado um malware em um endpoint que o produto colocou em quarentena. Embora as plataformas tradicionais de proteção de endpoint (EPPs) parassem nesse estágio, o MDR levou em consideração o contexto da detecção. A detecção foi um malware web shell identificado como Possible_SMWEBSHELLYXBH5A, que foi encontrado em um servidor Microsoft Exchange. Isso significava uma alta probabilidade de o servidor ter sido comprometido por uma vulnerabilidade. Nesse caso, a exploração provavelmente envolveu três vulnerabilidades do ProxyShell: CVE-2021-31207, CVE-2021-34473 e CVE-2021-34523. Isso levou a equipe a ativar o modo de resposta a incidentes e alertar o cliente envolvido.

O incidente demonstrou como é crucial que as equipes de segurança adotem uma abordagem integrada para detecção, monitoramento e resposta de ameaças para lidar com ataques rapidamente, especialmente agora que os acordos de trabalho remoto se tornaram comuns para as empresas devido à pandemia de Covid-19.

“As organizações podem aprender muitas lições com esse incidente. Uma é que as empresas não podem depender apenas do EPP para impedir ameaças persistentes porque ele é incapaz de fornecer uma visão holística necessária para detecção, investigação e resposta precoces. Como vimos, a série de ataques nesse caso usou meios furtivos para invadir o sistema, incluindo ferramentas aparentemente inofensivas em várias camadas de segurança. A complexidade dos ataques tornou ainda mais desafiador para a equipe de segurança e os pesquisadores de ameaças analisar a cadeia de eventos e chegar a uma compreensão contextual clara do cenário de ameaças em questão”, explica Cesar Candido, diretor de Vendas da Trend Micro no Brasil.

Incidentes como esse oferecem às equipes de segurança oportunidades de ver os ataques de diferentes ângulos e de uma maneira geral. Discutindo os principais insights, as empresas podem considerar ao adotar uma abordagem proativa de segurança cibernética para garantir a máxima proteção de seus sistemas.

Serviço
www.trendmicro.com

 

As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou qualquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.