0
0
Um ator de ameaças sofisticado, rastreado como UNC1945, tem sido observado explorando vulnerabilidades nos sistemas operacionais Oracle Solaris há mais de dois anos.
Pesquisadores do FireEye relataram que um ator de ameaças sofisticado, rastreado como UNC1945, tem sido observado visando sistemas operacionais Oracle Solaris por mais de dois anos.
O codinome “UNC” usado para rastrear o grupo é usado pelo FireEye para grupos não categorizados
De acordo com os especialistas, os atacantes também usaram uma exploração para uma vulnerabilidade recentemente abordada em zero-day(CVE-2020-14871) no Oracle Solaris.
O grupo UNC1945 realizou ataques direcionados a empresas de telecomunicações e alavancou redes terceirizadas para atingir indústrias específicas de consultoria financeira e profissional.
“O UNC1945 tinha como alvo os sistemas operacionais Oracle Solaris, utilizava várias ferramentas e utilitários contra sistemas operacionais Windows e Linux, carregava e operava máquinas virtuais personalizadas e empregava técnicas para evitar a detecção”, lê-se no relatório publicado pelo FireEye. “O UNC1945 demonstrou acesso a explorações, ferramentas e malware para vários sistemas operacionais, um interesse disciplinado em cobrir ou manipular suas atividades e exibiu habilidades técnicas avançadas durante operações interativas.”
No final de 2018, o grupo UNC1945 foi visto comprometendo um servidor Solaris que tinha o serviço SSH exposto à Internet para instalar um backdoor apelidado de SLAPSTICK e roubar credenciais para usar em ataques posteriores.
519 mais tarde, em meados de 2020, os pesquisadores observaram outro servidor Solaris que estava se conectando à infraestrutura anteriormente associada aos atacantes. Neste caso, os atacantes implantaram uma ferramenta de exploração remota apelidada de EVILSUN projetada para explorar a vulnerabilidade de zero-day CVE-2020-14871 no servidor Solaris 9.
FireEye/Mandiant informou como o CVE-2020-14871 para a Oracle, a gigante de TI abordou-o com o lançamento da Atualização crítica de patch de outubro de 2020. A falha do CVE-2020-14871 afeta o Módulo de Autenticação Plugável Solaris (PAM) e pode permitir um invasor de não-divulgação com acesso à rede para comprometer o sistema operacional.
Em abril de 2020, pesquisadores da Mandiant também descobriram a disponibilidade de uma “Oracle Solaris SSHD Remote Root Exploit” em um mercado subterrâneo. A exploração identificada com o EVILSUN está disponível por aproximadamente US$ 3.000.
“De acordo com um post de abril de 2020 em um site do mercado negro, um “Oracle Solaris SSHD Remote Root Exploit” estava disponível por aproximadamente US$ 3.000, o que pode ser identificável com o EVILSUN”, lê-se na análise publicada pela Mandiant.
“Além disso, confirmamos que um servidor Solaris exposto à internet tinha vulnerabilidades críticas, o que incluía a possibilidade de exploração remota sem autenticação.”
O ator de ameaças estabeleceu uma base em um servidor Solaris 9 usando o módulo de autenticação plugável solaris SLAPSTICK backdoor.
Uma vez estabelecido o backdoor, o ator de ameaças deixou cair um backdoor Linux personalizado chamado LEMONSTICK na estação de trabalho para alcançar execução de comando, túnel de conexão e transferência e execução de arquivos.
O UNC1945 obteve e manteve o acesso à sua infraestrutura externa usando um mecanismo de encaminhamento de porta SSH,
O UNC1945 manteve o acesso usando um mecanismo de encaminhamento de porta SSH, especialistas observaram o grupo soltando um VM QEMU personalizado em vários hosts, usando um script ‘start.sh’ para executá-lo dentro de qualquer sistema Linux.
O script continha configurações de encaminhamento TCP, enquanto o VM havia pré-carregado várias ferramentas de hacking, incluindo aplicativos de pós-exploração, scanners de rede, explorações e ferramentas de reconhecimento. A lista de ferramentas pré-carregadas incluía Mimikatz, Powersploit, Responder, Procdump, CrackMapExec, PoshC2, Medusa e JBoss Vulnerability Scanner.
Para evitar a detecção, o ator de ameaças colocou arquivos de ferramenta e saída dentro de pontos temporários de montagem do sistema de arquivos que foram armazenados em memória volátil. O UNC1945 também usou utilitários incorporados e ferramentas públicas para modificar carimbos de tempo e manipular seletivamente arquivos de log Unix.
Os atacantes também coletaram credenciais, escalaram privilégios e se moveram lateralmente através de várias redes.
“O UNC1945 usou proxyChains para baixar o PUPYRAT, uma administração remota multifuncional multifuncional de código aberto e multiplataforma e pós-exploração escrita principalmente em Python”, continua o relatório.
“Em um alvo, o ator de ameaças usou uma máquina virtual para iniciar uma força bruta de SSH visando pontos finais Linux e HP-UX. Começando com nomes de usuário aparentemente aleatórios e mudando para contas legítimas do Linux e windows, o ator de ameaças estabeleceu com sucesso conexões SSH em um ponto final Linux. Depois de aumentar com sucesso os privilégios em um ponto final HP-UX e um ponto final Linux, o UNC1945 instalou três backdoors: SLAPSTICK, TINYSHELL e OKSOLO.”
Os atacantes também usaram a ferramenta de varredura BlueKeep para atingir sistemas Windows.
Especialistas notaram que os hackers não exfiltraram nenhum dado das vítimas nos ataques observados, em um caso, eles implantaram o ransomware ROLLCOAST.
“A facilidade e amplitude de exploração na qual o UNC1945 conduziu esta campanha sugere um ator sofisticado e persistente confortável explorando vários sistemas operacionais e acesso a recursos e numerosos porta-ferramentas”, concluem os pesquisadores. “Dado os fatores acima mencionados, o uso de explorações de dia zero e máquinas virtuais e a capacidade de atravessar várias redes de terceiros, a Mandiant espera que esse ator de ameaça motivado continue as operações direcionadas contra as principais indústrias.”
FONTE: SECURITY AFFAIRS