Picus Labs e CLM analisam as cinco ciberameaças mais nocivas de novembro

Famílias de malwares e campanhas de ransomware adotam diferentes estratégias – phishing, roubo de informações, criptominerador etc. – para obter sucesso em suas investidas.

Picus Labs e a CLM, distribuidor latino-americano de valor agregado com foco em segurança da informação, proteção de dados, cloud e infraestrutura para data centers, value-added distributor da Picus, listam as cinco principais ciberameaças mais nocivas que vitimaram milhares de organizações no mês passado. São elas:

Agentes maliciosos, patrocinados pelo governo iraniano, de APT (Advanced Persistent Threat) implantaram um criptominerador e um coletor de credenciais em redes federais estadunidenses.

ransomware Hive, que afetou mais de 1,3 mil empresas, causou um prejuízo de 100 milhões de dólares em pagamento de resgates.

Carregador de backdoor TONESHELL, cujos ataques foram impetrados pelo grupo Earth Preta, também conhecido como Mustang Panda e Bronze President, usam contas falsas do Google e do DropBox, com o uso de APT.

Nova variante do ransomware Koxic que, apesar de ter surgido na Coréia, perpetrou ataques em todo o mundo. O Koxic reconfigura o sistema, desabilita os recursos de monitoramento em tempo real, inclusive de comportamento, impedindo a detecção do Windows Defender.

Malware Aurora, que surgiu inicialmente como um botnet de Malware-as-a-Service (MaaS) com recursos de roubo de dados e acesso remoto. Em setembro, os pesquisadores de cibersegurança descobriram que ele havia se tornado um infostelear e, em novembro, a partir da análise de muitos servidores C2 ativos, descobriu-se que o Aurora era o infostealer número um usado pelos agentes maliciosos.

Qualquer que seja o cenário, afirma o CEO da CLM, Francisco Camargo, para se prevenir destas e de outras ameaças é indispensável fazer a simulação e testar as defesas das empresas. “Vale mencionar que, de acordo com um relatório da Picus Library divulgado esta semana, apesar de a maioria dos firewalls detectar e bloquear, por exemplo, ataques de SQLi com bastante facilidade. Pesquisas recentes mostraram que muitos fornecedores de firewalls de aplicativos da Web (WAF) não conseguiram bloquear ataques SQLi que exploram o JSON para entrega. A Picus Labs adicionou esse novo método de desvio de WAF para injeção de SQL à Picus Threat Library”, conta.

Informações detalhadas sobre as cinco ciberameaças mais nocivas

Para quem precisa de mais detalhes sobre essas cinco ameaças, vale conferir mais detalhes, inclusive as tabelas, cujas diversas ciberameaças relativas a esses ataques foram incluídas pela Picus em sua biblioteca.

1. Agentes de APTs iranianos que atacaram o FCEB (AA22-320A)

Em 16 de novembro de 2022, a CISA (Cibersecurity & Infraestructure Security Agency) e o FBI emitiram um comunicado conjunto sobre a campanha de ataque desses agentes APT, que exploraram a vulnerabilidade não corrigida Log4Shell para acessar um servidor VMware Horizon, que pertence a uma organização do Poder Executivo Federal Civil (FCEB) dos Estados Unidos. No acesso inicial, os cibercriminosos permitiam que diretórios específicos baixassem ferramentas maliciosas sem serem notados por verificações de vírus. Depois, eles executavam um script do PowerShell para desabilitar o Windows Defender e baixaram arquivos e softwares maliciosos (minerador de criptografia XMRig) no sistema de destino, que posteriormente foram aproveitados para estabelecer persistência e usar o poder de computação da vítima para minerar criptomoedas.

Então, os atacantes se movem lateralmente no servidor VM Horizon comprometido para o host VMware VDI-KMS usando uma conta de usuário integrada do Windows em uma conexão RDP. Mais tarde, eles transferiram algumas ferramentas para o host VID-KMS (Mimikatz, PsExec, ngrok) para atividades de pós-exploração. Por fim, conseguiram ter controle total sobre todos os ativos associados ao domínio, incluindo o controlador de domínio.

Picus Threat Library incluiu as seguintes para o APT iraniano:

<strong>Picus Labs e CLM analisam as cinco ciberameaças mais nocivas de novembro</strong> 3

2. Ransomware Hive (AA22-321A)

Detentores do ransomware Hive utilizam diferentes técnicas de acesso inicial. No entanto, o Picus Labs observou que eles enviam e-mails de phishing com anexo malicioso, criados para explorar vulnerabilidades conhecidas em aplicativos voltados para o público, como Windows Exchange Servers.

Depois que o ponto de apoio é obtido, os agentes do Hive baixam binários maliciosos e um script ofuscado do Powershell, que faz parte da estrutura do Cobalt Strike, de seu servidor C2. Ao comprometer o usuário interno mais poderoso do computador local, NT Authority, os atacantes despejam todos os hashes NTLM para alavancar um ataque Pass-the-Hash (PtH).

Usando as credenciais de conta válidas roubadas, os criminosos enviam solicitações de conexão RDP (Remote Desktop Protocol) para muitos ativos internos para ver a quais bancos de dados eles têm acesso. Suspeita-se que isso tenha sido feito para verificar a expansão de seu acesso e descobrir quais informações confidenciais eles podem exfiltrar antes do início da criptografia. Em seguida, tendo uma lista de todos os objetos de domínio, os invasores executam um script em lote para executar ping em todos os itens da lista e gravar aqueles que respondem a um arquivo. Esses arquivos são criptografados posteriormente para maior impacto.

“De fato, Espionagem cibernética explorando o Google Drive para infraestrutura C2 foi reportada por outras empresas expoentes em cibersegurança, como a Netskope”, menciona Camargo.

A Picus Labs incluiu novas simulações de ataque à Picus Threat Library para novos malwares usados pelos agentes do Hive.

3. Carregador de backdoor TONESHELL, cujos ataques foram impetrados pelo grupo, que usa APT, o Earth Preta, também conhecido como Mustang Panda e Bronze President. Estes crackers usam contas falsas do Google e do DropBox, enviando spearphishing com um link malicioso do Google Drive ou DropBox anexado a eles para implantar o malware Hive.

“A partir de março de 2022, começamos a ver uma nova atividade de ciberespionagem”, diz o relatório do Picus Labs. De acordo com pesquisadores de segurança, esta campanha de ataque se origina de um agente de Ameaça Persistente Avançada (APT) A análise mostra que os anexos contêm arquivos maliciosos (rar/zip/jar), como imagens (.png), documentos do Word (.doc) e executáveis legítimos (.exe), que têm nomes de aparência benigna, o que leva as vítimas a pensar que vêm de fontes governamentais. Mas, na realidade, acionam a execução das seguintes famílias de malware: TONEINS, TONESHELL e PUBLOAD.

Entre esses três malwares, o TONESHELL é o backdoor usado principalmente pelo Earth Preta em suas campanhas direcionadas de phishing. O TONESHELL é carregado e decodificado no sistema de destino por meio do carregador de shellcode, chamado Backdoor.Win32.TONESHELL. Análise mais aprofundada mostra que o código da carga TONESHELL contém várias funções com strings autoexplicativas usadas para upload, download e execução de arquivos, movimento lateral e troca de dados na intranet por meio do OnePipeShell, shell unidirecional sobre um pipe nomeado e funções TwoPipeShell.

Depois que o backdoor é instalado e a comunicação C2 criptografada é estabelecida, os atacantes exfiltram informações confidenciais como parte de seu método de dupla extorsão.

Picus Labs já havia incluído as ameaças para o Mustang Panda. Agora, incluiu ao Picus Threat Library as seguintes ameaças para TONESHELL backdoor, TONEINS malware dropper e PUBLOAD malware downloader:

4 – Ransomware Koxic – nova variante. Apesar de ter surgido na Coréia, o Koxic perpetrou ataques em todo o mundo. Ele reconfigura o sistema, desabilita os recursos de monitoramento em tempo real, inclusive de comportamento, impedindo a detecção do Windows Defender.

Ao ser executado, o ransomware Koxic inicia uma fase de descoberta para recuperar as informações atuais do sistema. Depois, ele reconfigura a expiração do RDP ao máximo para manter uma sessão de área de trabalho remota mais estendida e desabilita os recursos de monitoramento em tempo real e de comportamento do Windows Defender para evitar a detecção e impedir que os sistemas de defesa enviem notificações de alerta aos sistemas SIEM.

O ransomware continua seu fluxo, excluindo as cópias de sombra do volume e desativando os serviços de banco de dados como MongoDB, SQLWriter e MySQL. Então, o malware começa a fazer uma lista de todos os alvos que podem ser criptografados. Como um processo paralelo, trata-se de uma ameaça que percorre essa lista, criptografando cada item um a um. A criptografia é realizada usando o algoritmo AES no modo CBC, onde o valor de valor de inicialização (IV) e a chave simétrica para o algoritmo AES são criptografados por um algoritmo de criptografia assimétrica, RSA.

A Picus Threat Library inclui as seguintes ameaças para o ransomware Koxic:

5. Malware Aurora surgiu inicialmente como um botnet de Malware-as-a-Service (MaaS) com recursos de roubo de dados e acesso remoto. Em setembro, os pesquisadores de cibersegurança descobriram que ele havia se tornado um infostelear e, em novembro, a partir da análise de muitos servidores C2 ativos, descobriu-se que o Aurora havia se tornado o infostealer número um usado pelos agentes maliciosos. “Os dados são exfiltrados no formato JSON do sistema de destino para um Aurora C2 de propriedade do invasor, que escuta o tráfego de rede de entrada nas portas 9865 e 8081 por TCP”, detalha o relatório do Picus Labs, que já havia observado diferentes RATs (PoetRAT, FairFAX) usados na campanha de malware Aurora em 2021.

Em abril de 2022, o Aurora foi anunciado pela primeira vez em fóruns de hackers de língua russa e no canal Telegram como um botnet Malware-as-a-Service (MaaS) com recursos de roubo de dados e acesso remoto. Em agosto de 2022, sua atividade quase desapareceu; sendo suspeito de que seus desenvolvedores pararam de vendê-lo e removeram seu código de repositórios clandestinos.

No entanto, em setembro de 2022, uma nova e grande atividade do Aurora chamou a atenção dos pesquisadores de segurança, revelando-se não como um botnet, mas como um “infostealer”. Tornou-se tão popular que muitas equipes de grandes traficantes sugeriram seu uso. Em novembro de 2022, uma análise de muitos servidores C2 ativos mostrou que Aurora havia se tornado o infostealer número um usado por agentes hostis.

O Aurora usa principalmente a biblioteca lxn/win para obter informações relacionadas ao sistema, que dependem do WMIC. Os seguintes comandos wmic são executados no host infectado

Figura 11. Funcionalidade de captura de arquivos do infostealer Aurora

Os dados são exfiltrados no formato JSON do sistema de destino para um Aurora C2 de propriedade do invasor, que escuta o tráfego de rede de entrada nas portas 9865 e 8081 por TCP.

Agora, a Picus Threat Library inclui as seguintes ameaças para o malware Aurora infostealer:

Sobre a CLM

CLM é um distribuidor latino-americano, de valor agregado, com foco em segurança da informação, proteção de dados, infraestrutura para data centers e cloud. A empresa recebeu recentemente diversos prêmios: o de melhor distribuidor da América Latina pela Nutanix, qualidade e agilidade nos serviços prestados aos canais; o prêmio Lenovo/Intel Best Growth LA Partner pelo crescimento das vendas; o Prêmio Excelência em Distribuição 2022 da Infor Channel pelo compromisso da CLM com a excelência e busca incansável das melhores soluções e serviços aos canais e Destaque no atendimento aos Canais, pelo Anuário de Informática da Revista Informática Hoje. 

Com sede em São Paulo, a empresa possui coligadas no Chile, EUA, Colômbia e Peru. Com extensa rede de VARs na América Latina e enorme experiência no mercado, a CLM está constantemente em busca de soluções inovadoras e disruptivas para fornecer cada vez mais valor para seus canais e seus clientes.

www.CLM.tech

Sair da versão mobile