0
0
Um grupo APT começou a confiar fortemente em serviços de nuvem como o Azure Active Directory e o OneDrive, bem como ferramentas de código aberto, para ofuscar seus ataques.
A Microsoft suspendeu 18 aplicativos do Azure Active Directory que estavam sendo alavancados para a infraestrutura de comando e controle (C2) pelo que diz ser um ator de estado-nação chinês.
Embora serviços da Microsoft como o Azure Active Directory (AD) – seu serviço de gerenciamento de identidade e acesso baseado em nuvem – sejam populares entre as empresas, os cibercriminosos também estão entrando nesses serviços para melhorar a armamento de sua carga de malware, tentar obter comando e controle até o servidor e ofuscar a detecção. Um desses grupos de ameaças recentemente vistos aproveitando esses serviços de nuvem e ferramentas de código aberto é o que a Microsoft chama de Gadolinium, um grupo de atividades estatais chinesas que vem comprometendo alvos há quase uma década.
Depois de comprometer os dispositivos das vítimas, a Gadolinium estava configurando contas de AD para receber comandos e enviar dados roubados para seu servidor C2. Mas além disso, o grupo de ameaças também armazenou dados roubados no serviço de hospedagem e sincronização de arquivos da Microsoft, o OneDrive; lançou ataques usando o kit de ferramentas PowershellEmpire de código aberto e usou o GitHub para hospedar comandos.
“A Gadolinium vem experimentando o uso de serviços de nuvem para fornecer seus ataques para aumentar a velocidade e a escala da operação há anos”, disseram Ben Koehl e Joe Hannon, do Centro de Inteligência de Ameaças da Microsoft, em um relatório publicado na quinta-feira.
Ataques evoluídos
Gadolinium também é conhecido como APT40, que pesquisadores como FireEye avaliaram com “confiança moderada” é um ator de espionagem patrocinado pelo Estado atribuído à China. Embora anteriormente, a Gadolinium tenha como alvo indústrias marítimas e de saúde mundiais, a Microsoft disse recentemente que observou um alvo recém-expandido para o grupo de ameaças incluir a região ásia-pacífico e outras metas no ensino superior e organizações governamentais regionais.
Em meados de abril de 2020, os atores de ameaça foram detectados enviando e-mails de phishing com anexos maliciosos, com iscas relacionadas à pandemia COVID-19. Quando aberto, o arquivo PowerPoint anexado (20200423-sitrep-92-covid-19.ppt), soltaria um arquivo, doc1.dotm, que então tem duas cargas que são executadas sucessivamente.
Estes incluem uma carga útil que desativa uma verificação de tipo (DisableActivitySurrogateSelectorTypeCheck), enquanto a segunda carrega um binário .Net incorporado que baixa um . Arquivo de imagem Png.
“O .png é na verdade o PowerShell que baixa e carrega arquivos png falsos usando a API do Microsoft Graph para https://graph.microsoft.com/v1.0/drive/root:/onlinework/contact/$($ID)_1.png:/conteúdo onde $ID é o ID do malware”, disseram os pesquisadores.
Nos bastidores, esses ataques contavam com um pacote de serviços da Microsoft e ferramentas de código aberto – que a Microsoft disse ter sido uma tendência constante nos últimos anos para vários grupos de atividades do Estado-nação que migraram para ferramentas de código aberto.
Gadolinium Alavancando serviços de nuvem
Pesquisadores disseram que historicamente a Gadolinium tem aproveitado as famílias de malware criadas sob medida – mas os analistas foram capazes de identificá-las e se defender delas.
Em resposta, o ator de ameaças começou a experimentar aplicativos em nuvem para ajudá-lo a evitar a detecção de seus ataques, a partir de 2018, quando o grupo de ameaças optou por usar o GitHub para hospedar comandos. Muitos serviços em nuvem frequentemente oferecem uma oferta gratuita de contas de avaliação ou pagamento único (via PayGo), e atores mal-intencionados encontraram maneiras de tirar proveito dessas ofertas comerciais legítimas, disseram os pesquisadores.
“Ao estabelecer contas gratuitas ou PayGo, eles podem usar a tecnologia baseada em nuvem para criar uma infraestrutura maliciosa que pode ser estabelecida rapidamente e depois retirada antes da detecção ou desistiu a pouco custo”, disseram os pesquisadores.
No ano passado, a Gadolinium também começou a modificar partes de seu vetor de ataque, em vez de usar kits de ferramentas de código aberto para ofuscar sua atividade e tornar mais difícil para os analistas rastrearem.
A Microsoft disse que os 18 aplicativos do Azure Active Directory que foram suspensos faziam parte da infraestrutura powershell empire da Gadolinium, que é uma versão modificada do kit de ferramentas PowershellEmpirede código aberto. Este é um kit de ferramentas que permite que os invasores carreguem módulos adicionais para computadores infectados através de chamadas de API do Microsoft Graph. Ele fornece um módulo de comando e controle que usa a conta Microsoft OneDrive do invasor para executar comandos e recuperar resultados entre sistemas de invasores e vítimas.
“O invasor usa um aplicativo do Azure Active Directory para configurar um ponto final da vítima com as permissões necessárias para exfiltrar dados para o próprio armazenamento Microsoft OneDrive do invasor”, disseram os pesquisadores. “Do ponto final ou do monitoramento de rede, a atividade inicialmente parece estar relacionada a aplicativos confiáveis usando APIs confiáveis de serviço de nuvem e, neste cenário, não ocorrem solicitações de consentimento de permissões OAuth.”
FONTE: THREAT POST