0
0
Uma agência federal sofreu um ataque cibernético bem sucedido relacionado à espionagem que levou a um malware backdoor e multiestáridos sendo descartado em sua rede.
A Agência de Segurança cibernética e infraestrutura dos EUA (CISA) emitiu um alerta na quinta-feira, não nomeando a agência, mas fornecendo detalhes técnicos do ataque. Os hackers, disse ele, ganharam acesso inicial usando as credenciais legítimas do Microsoft Office 365 para entrar em um computador da agência remotamente.
“O ator de ameaças cibernéticas tinha credenciais de acesso válidas para contas do Microsoft Office 365 (O365) de vários usuários e contas de administrador de domínio”, de acordo com a CISA. “Primeiro, o ator de ameaças entrou na conta O365 de um usuário do endereço 91.219.236[.] 166 e, em seguida, navegou páginas em um site do SharePoint e baixou um arquivo. O ator de ameaça cibernética conectado várias vezes pelo Protocolo de Controle de Transmissão (TCP) a partir do endereço IP 185.86.151[.] 223 para o servidor vpn virtual de rede privada (VPN) da organização vítima.”
Quanto à forma como os atacantes conseguiram colocar as mãos nas credenciais em primeiro lugar, a investigação da CISA não encontrou uma resposta definitiva – no entanto, especulou que poderia ter sido resultado de uma exploração de vulnerabilidade que, segundo ele, tem sido desenfreada nas redes governamentais.
“É possível que o ciber-ator tenha obtido as credenciais de um servidor VPN de agência não reparado explorando uma vulnerabilidade conhecida — CVE-2019-11510 — no Pulse Secure”, de acordo com o alerta. “CVE-2019-11510… permite a recuperação remota e não autenticada de arquivos, incluindo senhas. A CISA tem observado ampla exploração do CVE-2019-11510 em todo o governo federal.”
O patch foi emitido em abril de 2019, mas o Departamento de Segurança Interna (DHS) em abril deste ano observou que antes das manchas serem implantadas, os maus atores foram capazes de comprometer as contas do Active Directory através da falha – portanto, mesmo aqueles que corrigiram o bug ainda poderiam ser comprometidos e são vulneráveis a ataques.
Após o acesso inicial, o grupo começou a realizar o reconhecimento na rede. Primeiro, eles entraram em uma conta de e-mail da agência O365 para visualizar e baixar anexos de e-mail de help-desk com “acesso intranet” e “senhas VPN” nas linhas de assunto – e descobriu a chave Active Directory and Group Policy, alterando uma chave de registro para a Política de Grupo.
“Imediatamente depois, o ator de ameaças usou processos comuns da linha de comando Microsoft Windows — conhost, ipconfig, net, que consultam, netstat, ping e whoami, plink.exe — para enumerar o sistema e a rede comprometidos”, de acordo com a CISA.
O próximo passo foi conectar-se a um servidor privado virtual (VPS) através de um cliente SMB (Windows Server Message Block, bloqueio de mensagens do servidor windows), usando uma conta de identificação segura de alias que o grupo havia criado anteriormente para fazer login nele; então, eles executaram plink.exe, um utilitário de administração remota.
Depois disso, eles se conectaram ao comando e controle (C2) e instalaram um malware personalizado com o nome do arquivo “inetinfo.exe”. Os atacantes também criaram uma ação remota montada localmente, que “permitiu que o ator se movesse livremente durante suas operações, deixando menos artefatos para análise forense”, observou a CISA.
Os cibercriminosos, embora logados como administradores, criaram uma tarefa programada para executar o malware, que acabou sendo um conta-gotas para cargas adicionais.
“inetinfo.exe é um malware único em vários estágios usado para soltar arquivos”, explicou o CISA. “Ele derrubou arquivos system.dll e 363691858 e uma segunda instância de inetinfo.exe. O system.dll da segunda instância de inetinfo.exe descriptografou 363691858 como binário da primeira instância de inetinfo.exe. O binário 363691858 descriptografado foi injetado na segunda instância do inetinfo.exe para criar e conectar-se a um túnel localmente chamado. O binário injetado então executou o shellcode na memória que se conectava ao endereço IP 185.142.236[.] 198, o que resultou no download e execução de uma carga útil.”
Ele acrescentou: “O ator de ameaças cibernéticas foi capaz de superar a proteção anti-malware da agência, e inetinfo.exe escapou da quarentena.”
A CISA não especificou qual era a carga secundária – o Threatpost entrou em contato para obter informações adicionais.
Enquanto isso, o grupo de ameaças também estabeleceu um backdoor na forma de um persistente túnel Secure Socket Shell (SSH) /proxy SOCKS reverso.
“O proxy permitiu conexões entre um servidor remoto controlado por invasores e um dos servidores de arquivos da organização da vítima”, de acordo com a CISA. “O proxy SOCKS reverso se comunicou através da porta 8100. Esta porta normalmente está fechada, mas o malware do invasor abriu-a.”
Em seguida, foi criada uma conta local, que foi usada para coleta e exfiltração de dados. A partir da conta, os cibercriminosos procuraram diretórios em servidores de arquivos de vítimas; arquivos copiados dos diretórios domésticos dos usuários; conectou um VPS controlado por invasor com o servidor de arquivos da agência (através de um proxy SOCKS SMB reverso); e exfiltrava todos os dados usando o cliente do Microsoft Windows Terminal Services.
O ataque foi remediado – e não está claro quando ocorreu. A CISA disse que seu sistema de detecção de intrusões foi felizmente capaz de sinalizar a atividade, no entanto.
“A CISA tomou conhecimento — via EINSTEIN, o sistema de detecção de intrusões da CISA que monitora redes civis federais — de um potencial compromisso da rede de uma agência federal”, segundo o alerta. “Em coordenação com a agência afetada, a CISA conduziu um engajamento de resposta a incidentes, confirmando atividades maliciosas.”
FONTE: THREATPOST