Microsoft mata 18 contas do Azure ligadas a ataques do Estado-Nação

Views: 119
0 0
Read Time:4 Minute, 15 Second

Um grupo APT começou a confiar fortemente em serviços de nuvem como o Azure Active Directory e o OneDrive, bem como ferramentas de código aberto, para ofuscar seus ataques.

A Microsoft suspendeu 18 aplicativos do Azure Active Directory que estavam sendo alavancados para a infraestrutura de comando e controle (C2) pelo que diz ser um ator de estado-nação chinês.

Embora serviços da Microsoft como o Azure Active Directory (AD) – seu serviço de gerenciamento de identidade e acesso baseado em nuvem – sejam populares entre as empresas, os cibercriminosos também estão entrando nesses serviços para melhorar a armamento de sua carga de malware, tentar obter comando e controle até o servidor e ofuscar a detecção. Um desses grupos de ameaças recentemente vistos aproveitando esses serviços de nuvem e ferramentas de código aberto é o que a Microsoft chama de Gadolinium, um grupo de atividades estatais chinesas que vem comprometendo alvos há quase uma década.

Depois de comprometer os dispositivos das vítimas, a Gadolinium estava configurando contas de AD para receber comandos e enviar dados roubados para seu servidor C2. Mas além disso, o grupo de ameaças também armazenou dados roubados no serviço de hospedagem e sincronização de arquivos da Microsoft, o OneDrive; lançou ataques usando o kit de ferramentas PowershellEmpire de código aberto e usou o GitHub para hospedar comandos.

“A Gadolinium vem experimentando o uso de serviços de nuvem para fornecer seus ataques para aumentar a velocidade e a escala da operação há anos”, disseram Ben Koehl e Joe Hannon, do Centro de Inteligência de Ameaças da Microsoft, em um relatório publicado na quinta-feira.

Ataques evoluídos

Gadolinium também é conhecido como APT40, que pesquisadores como FireEye avaliaram com “confiança moderada” é um ator de espionagem patrocinado pelo Estado atribuído à China. Embora anteriormente, a Gadolinium tenha como alvo indústrias marítimas e de saúde mundiais, a Microsoft disse recentemente que observou um alvo recém-expandido para o grupo de ameaças incluir a região ásia-pacífico e outras metas no ensino superior e organizações governamentais regionais.

Em meados de abril de 2020, os atores de ameaça foram detectados enviando e-mails de phishing com anexos maliciosos, com iscas relacionadas à pandemia COVID-19. Quando aberto, o arquivo PowerPoint anexado (20200423-sitrep-92-covid-19.ppt), soltaria um arquivo, doc1.dotm, que então tem duas cargas que são executadas sucessivamente.

Estes incluem uma carga útil que desativa uma verificação de tipo (DisableActivitySurrogateSelectorTypeCheck), enquanto a segunda carrega um binário .Net incorporado que baixa um . Arquivo de imagem Png.

“O .png é na verdade o PowerShell que baixa e carrega arquivos png falsos usando a API do Microsoft Graph para https://graph.microsoft.com/v1.0/drive/root:/onlinework/contact/$($ID)_1.png:/conteúdo onde $ID é o ID do malware”, disseram os pesquisadores.

Nos bastidores, esses ataques contavam com um pacote de serviços da Microsoft e ferramentas de código aberto – que a Microsoft disse ter sido uma tendência constante nos últimos anos para vários grupos de atividades do Estado-nação que migraram para ferramentas de código aberto.

Gadolinium Alavancando serviços de nuvem

Pesquisadores disseram que historicamente a Gadolinium tem aproveitado as famílias de malware criadas sob medida – mas os analistas foram capazes de identificá-las e se defender delas.

Em resposta, o ator de ameaças começou a experimentar aplicativos em nuvem para ajudá-lo a evitar a detecção de seus ataques, a partir de 2018, quando o grupo de ameaças optou por usar o GitHub para hospedar comandos. Muitos serviços em nuvem frequentemente oferecem uma oferta gratuita de contas de avaliação ou pagamento único (via PayGo), e atores mal-intencionados encontraram maneiras de tirar proveito dessas ofertas comerciais legítimas, disseram os pesquisadores.

“Ao estabelecer contas gratuitas ou PayGo, eles podem usar a tecnologia baseada em nuvem para criar uma infraestrutura maliciosa que pode ser estabelecida rapidamente e depois retirada antes da detecção ou desistiu a pouco custo”, disseram os pesquisadores.

No ano passado, a Gadolinium também começou a modificar partes de seu vetor de ataque, em vez de usar kits de ferramentas de código aberto para ofuscar sua atividade e tornar mais difícil para os analistas rastrearem.

A Microsoft disse que os 18 aplicativos do Azure Active Directory que foram suspensos faziam parte da infraestrutura powershell empire da Gadolinium, que é uma versão modificada do kit de ferramentas PowershellEmpirede código aberto. Este é um kit de ferramentas que permite que os invasores carreguem módulos adicionais para computadores infectados através de chamadas de API do Microsoft Graph. Ele fornece um módulo de comando e controle que usa a conta Microsoft OneDrive do invasor para executar comandos e recuperar resultados entre sistemas de invasores e vítimas.

“O invasor usa um aplicativo do Azure Active Directory para configurar um ponto final da vítima com as permissões necessárias para exfiltrar dados para o próprio armazenamento Microsoft OneDrive do invasor”, disseram os pesquisadores. “Do ponto final ou do monitoramento de rede, a atividade inicialmente parece estar relacionada a aplicativos confiáveis usando APIs confiáveis de serviço de nuvem e, neste cenário, não ocorrem solicitações de consentimento de permissões OAuth.”

FONTE: THREAT POST

Previous post Uma falha de segurança vergonhosa poderia ter deixado qualquer um acessar sua conta do Grindr
Next post Hospital Universitário de Nova Jersey pagou um resgate de US$ 670 mil

Deixe um comentário