Picus Labs e CLM listam as cinco principais ameaças de novembro

O Picus Labs e a CLM, distribuidora latino-americana com foco em segurança da informação, Cloud e infraestrutura para Data Centers, distribuidora de valor agregado da Picus, listaram as cinco principais ciberameaças que vitimaram milhares de organizações no mês de novembro. São elas:

– Agentes maliciosos, patrocinados pelo governo iraniano, de APT (Advanced Persistent Threat) implementaram um criptominerador e um coletor de credenciais em redes federais estadunidenses.

– O ransomware Hive, que afetou mais de 1,3 mil empresas, causou um prejuízo de 100 milhões de dólares em pagamento de resgates.

– Carregador de backdoor TONESHELL, cujos ataques foram impetrados pelo grupo Earth Preta, também conhecido como Mustang Panda e Bronze President, usam contas falsas do Google e do DropBox, com o uso de APT.

– Nova variante do ransomware Koxic que, apesar de ter surgido na Coréia, perpetrou ataques em todo o mundo. O Koxic reconfigura o sistema, desabilita os recursos de monitoramento em tempo real, inclusive de comportamento, impedindo a detecção do Windows Defender.

– Malware Aurora, que surgiu inicialmente como um botnet de Malware-as-a-Service (MaaS) com recursos de roubo de dados e acesso remoto. Em setembro, os pesquisadores de cibersegurança descobriram que ele havia se tornado um infostelear e, em novembro, a partir da análise de muitos servidores C2 ativos, descobriu-se que o Aurora era o infostealer número um usado pelos agentes maliciosos.

Qualquer que seja o cenário, afirma o CEO da CLM, Francisco Camargo, para se prevenir destas e de outras ameaças é indispensável fazer a simulação e testar as defesas das empresas. “Vale mencionar que, de acordo com um relatório da Picus Library divulgado recentemente, apesar de a maioria dos firewalls detectar e bloquear, por exemplo, ataques de SQLi com bastante facilidade, pesquisas recentes mostraram que muitos fornecedores de firewalls de aplicativos da Web (WAF) não conseguiram bloquear ataques SQLi que exploram o JSON para entrega. A Picus Labs adicionou esse novo método de desvio de WAF para injeção de SQL à Picus Threat Library”, alertou.

Informações detalhadas sobre as cinco ciberameaças

1. Agentes de APTs iranianos que atacaram o FCEB (AA22-320A)

Em 16 de novembro de 2022, a CISA (Cibersecurity & Infraestructure Security Agency) e o FBI emitiram um comunicado conjunto sobre a campanha de ataque desses agentes APT, que exploraram a vulnerabilidade não corrigida Log4Shell para acessar um servidor VMware Horizon, que pertence a uma organização do Poder Executivo Federal Civil (FCEB) dos Estados Unidos.

No acesso inicial, os cibercriminosos permitiam que diretórios específicos baixassem ferramentas maliciosas sem serem notados por verificações de vírus. Depois, eles executavam um script do PowerShell para desabilitar o Windows Defender e baixaram arquivos e softwares maliciosos (minerador de criptografia XMRig) no sistema de destino, que posteriormente foram aproveitados para estabelecer persistência e usar o poder de computação da vítima para minerar criptomoedas.

Então, os atacantes se movem lateralmente no servidor VM Horizon comprometido para o host VMware VDI-KMS usando uma conta de usuário integrada do Windows em uma conexão RDP. Mais tarde, eles transferiram algumas ferramentas para o host VID-KMS (Mimikatz, PsExec, ngrok) para atividades de pós-exploração. Por fim, conseguiram ter controle total sobre todos os ativos associados ao domínio, incluindo o controlador de domínio.

2. Ransomware Hive (AA22-321A)

Detentores do ransomware Hive utilizam diferentes técnicas de acesso inicial. No entanto, o Picus Labs observou que eles enviam e-mails de phishing com anexo malicioso, criados para explorar vulnerabilidades conhecidas em aplicativos voltados para o público, como Windows Exchange Servers.

Depois que o ponto de apoio é obtido, os agentes do Hive baixam binários maliciosos e um script ofuscado do Powershell, que faz parte da estrutura do Cobalt Strike, de seu servidor C2. Ao comprometer o usuário interno mais poderoso do computador local, NT Authority, os atacantes despejam todos os hashes NTLM para alavancar um ataque Pass-the-Hash (PtH).

Usando as credenciais de conta válidas roubadas, os criminosos enviam solicitações de conexão RDP (Remote Desktop Protocol) para muitos ativos internos para ver a quais bancos de dados eles têm acesso. Suspeita-se que isso tenha sido feito para verificar a expansão de seu acesso e descobrir quais informações confidenciais eles podem exfiltrar antes do início da criptografia. Em seguida, tendo uma lista de todos os objetos de domínio, os invasores executam um script em lote para executar ping em todos os itens da lista e gravar aqueles que respondem a um arquivo. Esses arquivos são criptografados posteriormente para maior impacto.

3. Carregador de backdoor TONESHELL

Ataques foram impetrados pelo grupo, que usa APT, o Earth Preta, também conhecido como Mustang Panda e Bronze President. Estes crackers usam contas falsas do Google e do DropBox, enviando spearphishing com um link malicioso do Google Drive ou DropBox anexado a eles para implantar o malware Hive.

“A partir de março de 2022, começamos a ver uma nova atividade de ciberespionagem”, diz o relatório do Picus Labs. De acordo com pesquisadores de segurança, esta campanha de ataque se origina de um agente de Ameaça Persistente Avançada (APT) A análise mostra que os anexos contêm arquivos maliciosos (rar/zip/jar), como imagens (.png), documentos do Word (.doc) e executáveis legítimos (.exe), que têm nomes de aparência benigna, o que leva as vítimas a pensar que vêm de fontes governamentais. Mas, na realidade, acionam a execução das seguintes famílias de malware: TONEINS, TONESHELL e PUBLOAD.

Entre esses três malwares, o TONESHELL é o backdoor usado principalmente pelo Earth Preta em suas campanhas direcionadas de phishing. O TONESHELL é carregado e decodificado no sistema de destino por meio do carregador de shellcode, chamado Backdoor.Win32.TONESHELL. Análise mais aprofundada mostra que o código da carga TONESHELL contém várias funções com strings autoexplicativas usadas para upload, download e execução de arquivos, movimento lateral e troca de dados na intranet por meio do OnePipeShell, shell unidirecional sobre um pipe nomeado e funções TwoPipeShell.

Depois que o backdoor é instalado e a comunicação C2 criptografada é estabelecida, os atacantes exfiltram informações confidenciais como parte de seu método de dupla extorsão.

O Picus Labs já havia incluído as ameaças para o Mustang Panda. Agora, incluiu ao Picus Threat Library as seguintes ameaças para TONESHELL backdoor, TONEINS malware dropper e PUBLOAD malware downloader:

4. Ransomware Koxic – nova variante

Apesar de ter surgido na Coreia, o Koxic perpetrou ataques em todo o mundo. Ele reconfigura o sistema, desabilita os recursos de monitoramento em tempo real, inclusive de comportamento, impedindo a detecção do Windows Defender.

Ao ser executado, o ransomware Koxic inicia uma fase de descoberta para recuperar as informações atuais do sistema. Depois, ele reconfigura a expiração do RDP ao máximo para manter uma sessão de área de trabalho remota mais estendida e desabilita os recursos de monitoramento em tempo real e de comportamento do Windows Defender para evitar a detecção e impedir que os sistemas de defesa enviem notificações de alerta aos sistemas SIEM.

O ransomware continua seu fluxo, excluindo as cópias de sombra do volume e desativando os serviços de banco de dados como MongoDB, SQLWriter e MySQL. Então, o malware começa a fazer uma lista de todos os alvos que podem ser criptografados. Como um processo paralelo, trata-se de uma ameaça que percorre essa lista, criptografando cada item um a um. A criptografia é realizada usando o algoritmo AES no modo CBC, onde o valor de valor de inicialização (IV) e a chave simétrica para o algoritmo AES são criptografados por um algoritmo de criptografia assimétrica, RSA.

5. Malware Aurora

Surgiu inicialmente como um botnet de Malware-as-a-Service (MaaS) com recursos de roubo de dados e acesso remoto. Em setembro, os pesquisadores de cibersegurança descobriram que ele havia se tornado um infostelear e, em novembro, a partir da análise de muitos servidores C2 ativos, descobriu-se que o Aurora havia se tornado o infostealer número um usado pelos agentes maliciosos. “Os dados são exfiltrados no formato JSON do sistema de destino para um Aurora C2 de propriedade do invasor, que escuta o tráfego de rede de entrada nas portas 9865 e 8081 por TCP”, detalha o relatório do Picus Labs, que já havia observado diferentes RATs (PoetRAT, FairFAX) usados na campanha de malware Aurora em 2021.

Em abril de 2022, o Aurora foi anunciado pela primeira vez em fóruns de hackers de língua russa e no canal Telegram como um botnet Malware-as-a-Service (MaaS) com recursos de roubo de dados e acesso remoto. Em agosto de 2022, sua atividade quase desapareceu; sendo suspeito de que seus desenvolvedores pararam de vendê-lo e removeram seu código de repositórios clandestinos.

No entanto, em setembro de 2022, uma nova e grande atividade do Aurora chamou a atenção dos pesquisadores de segurança, revelando-se não como um botnet, mas como um “infostealer”. Tornou-se tão popular que muitas equipes de grandes traficantes sugeriram seu uso. Em novembro de 2022, uma análise de muitos servidores C2 ativos mostrou que Aurora havia se tornado o infostealer número um usado por agentes hostis.

Serviço
www.clm.tech