Ator de ameaças aproveita técnicas de mineração de moedas para ficar sob o radar – veja como localizá-las

Views: 444
0 0
Read Time:16 Minute, 34 Second

Os mineradores de criptomoedas são tipicamente associados a operações de cibercriminosos, não à sofisticada atividade de atores estatais. Eles não são o tipo mais sofisticado de ameaças, o que também significa que eles não estão entre os problemas de segurança mais críticos que os defensores abordam com urgência. Campanhas recentes do ator de estado-nação BISMUTH aproveitam os alertas de baixa prioridade que os mineradores de moedas causam para tentar voar sob o radar e estabelecer persistência.

A BISMUTH, que compartilha semelhanças com a OceanLotus ou a APT32, vem realizando ataques cibernéticos cada vez mais complexos desde 2012, usando ferramentas personalizadas e de código aberto para atingir grandes corporações multinacionais, governos, serviços financeiros, instituições educacionais e organizações de direitos humanos e civis. Mas em campanhas de julho a agosto de 2020, o grupo implantou mineradores de moedas Monero em ataques que tinham como alvo tanto o setor privado quanto instituições governamentais na França e no Vietnã.

Como os ataques do BISMUTH envolviam técnicas que variavam de típicos a mais avançados, dispositivos com atividades comuns de ameaça, como phishing e mineração de moedas, devem ser elevados e inspecionados para ameaças avançadas. Mais importante, as organizações devem priorizar a redução da superfície de ataque e o endurecimento das redes contra toda a gama de ataques. Neste blog, forneceremos detalhes técnicos aprofundados sobre os ataques do BISMUTH em julho e agosto de 2020 e recomendações de mitigação para a construção da resiliência organizacional.

Embora as metas operacionais deste atorpermanecessem as mesmas: estabelecer monitoramento contínuo e espionagem, exfiltrando informações úteis como ela surgiu,sua implantação de mineradores de moedas em suas campanhas recentes forneceu outra maneira para os atacantes monetizarem redes comprometidas. Considerando que alguns dos alvos tradicionais do grupo são organizações de direitos humanos e civis, os ataques do BISMUTH demonstram como os atacantes dão pouca atenção aos serviços que eles impactam.

O uso de mineradores de moedas pelo BISMUTH foi inesperado, mas foi consistente com os métodos de longa data do grupo de se misturar. Esse padrão de mistura é particularmente evidente nesses ataques recentes, a partir da fase inicial de acesso: e-mails de phishing que foram especialmente criados para um destinatário específico por organização alvo e mostraram sinais de reconhecimento prévio. Em alguns casos, o grupo até correspondia aos alvos, construindo ainda mais credibilidade para convencer os alvos a abrir o apego malicioso e iniciar a cadeia de infecções.

A outra maneira que o BISMUTH tentou se misturar e se esconder à vista foi o uso pesado do carregamento lateral DLL, uma técnica na qual um DLL legítimo é substituído por um malicioso para que este seja carregado quando o aplicativo associado é executado. Em seus ataques recentes, o BISMUTH utilizou cópias de vários softwares legítimos para carregar arquivos DLL maliciosos e executar tarefas no contexto desses aplicativos legítimos. Para executar o sideloading DLL, o BISMUTH introduziu versões desatualizadas de vários aplicativos, incluindo o Microsoft Defender Antivirus. Eles também aproveitaram a ferramenta Sysinternals DebugView, o scanner sob demanda da McAfee e o Microsoft Word 2007.

A mistura foi importante para o BISMUTH porque o grupo passou longos períodos de tempo realizando a descoberta em redes comprometidas até que pudessem acessar e mover-se lateralmente para alvos de alto valor, como servidores, onde instalaram várias ferramentas para propagar ou realizar mais ações. Neste ponto do ataque, o grupo dependia fortemente de scripts evasivos do PowerShell, tornando suas atividades ainda mais secretas.

Os mineradores de moedas também permitiram que o BISMUTH escondesse suas atividades mais nefastas por trás de ameaças que podem ser percebidas como menos alarmantes porque são malwares de “mercadoria”. Se aprendemos algo com trojans bancários “commodities” que trazem ransomware operado por humanos, sabemos que infecções comuns de malware podem ser indicadores de ataques cibernéticos mais sofisticados e devem ser tratadas com urgência e investigadas e resolvidas de forma abrangente.

Diagram showing BISMUTH attacker techniques across attack stages

Acesso inicial

O BISMUTH tentou obter acesso inicial enviando e-mails maliciosos especialmente elaborados de uma conta do Gmail que parece ter sido feita especificamente para esta campanha. É provável que o grupo tenha realizado o reconhecimento usando fontes disponíveis publicamente e escolhido alvos individuais com base em sua função de trabalho. Cada e-mail foi enviado para apenas um destinatário em cada organização-alvo e usou linhas de assunto sob medida e temas de atração, por exemplo:

  • Dự thəo hợp đồng (traduzido do vietnamita para “Draft Contract”)
  • Tuyən – Trưởng ban nghiên cəu thị trường (traduzido do vietnamita para “Formulário de Aplicação – Chefe de Pesquisa de Mercado”)

Note-se que o grupo enviou várias respostas a um desses e-mails, o que indicou que eles correspondiam a alguns alvos antes de convencê-los a abrir o anexo de documento malicioso e lançar inadvertidamente a carga útil. Quando aberto, o arquivo .doc malicioso derrubou vários arquivos na pasta ProgramData oculta: (1) MpSvc.dll, um DLL malicioso com o mesmo nome de um DLL antivírus legítimo do Microsoft Defender, e (2) uma cópia do MsMpEng.exe legítimo microsoft Defender Antivirus executável.

O documento malicioso então adicionou uma tarefa programada que lançou acópia do MsMpEng.exe e descarregou de lado o MpSvc malicioso.dll. Como as versões mais recentes do Microsoft Defender Antivirus não são mais suscetíveis ao sideloading DLL, o BISMUTH usou uma cópia mais antiga para carregar o DLL malicioso e estabelecer um canal de comando e controle persistente (C2) para o dispositivo comprometido e, consequentemente, para a rede.

Usando o canal recém-estabelecido, o grupo deixou cair vários arquivos para os próximos estágios do ataque, incluindo um arquivo de .7z, uma cópia do Word 2007, e outro DLL, wwlib.dll. Embora tenha usado o mesmo nome de um Microsoft Word DLL legítimo, wwlib.dll era uma cópia do KerrDown, uma família de malware personalizado exclusivo do BISMUTH. Este arquivo foi posteriormente carregado de lado pela cópia descartadado Word 2007, uma técnica usada pelo BISMUTH extensivamente para carregar código malicioso de um arquivo DLL no contexto de um processo legítimo como winword.exe.

BISMUTH estabeleceu outro método de persistência ao soltar outra cópia do Word 2007 em uma subpasta no ProgramData. O grupo então criou uma tarefa programada que lançou essa cópia da mesma forma maliciosa a cada 60 minutos – aumentando ainda mais suas chances de passar despercebido e manter sua presença.

Descoberta

Uma vez estabelecido como uma tarefa programada, o processo de co-optado do Word 2007 caiu e carregou uma ferramenta de digitalização popular entre os atacantes, NbtScan.exe. O BISMUTH usou imediatamente a ferramenta de digitalização para digitalizar um intervalo de endereços IP dentro da organização. Após essa varredura de rede, o processo Word 2007 lançou um script malicioso usando um binário vivo-fora-da-terra, rundll32.exe, resultando em uma varredura em uma miríade de portas comuns, incluindo 21, 22, 389, 139 e 1433. Os dispositivos listados BISMUTH com portas abertas em um arquivo .csv.

Enquanto a varredura da rede estava em andamento, o grupo realizou outras atividades de reconhecimento. Eles reuniram informações sobre domínio e administradores locais, verificaram se osusuários tinham privilégios administrativos locais e coletaram informações sobre dispositivos, agregando resultados em uma .csv para exfiltração. Além disso, o grupo mais uma vez usou o MsMpEng.exe com o DLL sideloaded malicioso para se conectar a outro dispositivo que parece ter sido designado pelo BISMUTH em algum momento durante o ataque como um dispositivo interno de preparação de C2 e exfiltração.

Movimento lateral contínuo, descoberta e coleta de informações

Após um mês de descoberta contínua em dispositivos comprometidos, o grupo mudou-se lateralmente para um servidor e copiou sobre um DLL malicioso que se disfarçou como mpr de arquivo de arquivo do sistema.dll e uma cópia da ferramenta Sysinternals DebugView. Eles deixaram a ferramenta cair em diferentes dispositivos usando cópia de arquivo remoto SMB, usando nomes de arquivos relacionados a personagens populares de videogames japoneses e uma palavra aparentemente aleatória. Os atores então se registraram e lançaram serviços maliciosos várias vezes, lançando a ferramenta DebugView para se conectar a vários sites do Yahoo e confirmar a conectividade com a Internet, seguida por uma conexão com sua infraestrutura C2.

Neste ponto, BISMUTH passou a executar seus ataques usando o PowerShell, lançando rapidamente vários cmdlets de script. Primeiro, eles despejaram credenciais do banco de dados SAM (Security Account Manager, gerente de contas de segurança) usando o comando Empire PowerDump e, em seguida, rapidamente excluíram os registros de eventos do PowerShell para apagar registros gerados pelo Script Block Logging. Eles então continuaram seus esforços de descoberta usando um script PowerShell que reunia informações de usuários e grupos e enviavam os dados coletados para .csv arquivos.

O script coletou as seguintes informações sobre cada usuário:

descrição, nome distinto, lastlogontimestamp, logoncount, mail, name, primarygroupid, pwdlastset, samaccountname, userprincipalname, quando alterado, quando criado

E as seguintes informações sobre cada grupo de domínio:

adspath, descrição, nome distinto, groupType, instancetype, mail, membro, membro, nome, objectsid, samaccountname, quando alterado, quando criado

Em seguida, o grupo exportou informações da unidade organizacional de floresta e domínio (OU). Eles então começaram a se conectar a dezenas de dispositivos usando WMI. Depois disso, eles coletaram credenciais despejando registros de segurança no Âmbito do Event ID 680, possivelmente visando registros relacionados a recuos do NTLM. Por fim, o grupo usou a ferramenta de sistema Nltest.exe para coletar informações de confiança de domínio e pingou vários servidores que identificaram pelo nome durante o reconhecimento. Alguns desses servidores parecem ser servidores de banco de dados e arquivos que poderiam conter informações de alto valor para objetivos de espionagem normalmente perseguidos pelo BISMUTH.

BISMUTH então instalou um sinalizador Cobalt Strike. O grupo lançou um arquivo .rar e extraiuseu conteúdo:McOds.exe, que é uma cópia do scanner sobdemanda da McAfee e um DLL malicioso na pasta SysWOW64. O grupo então criou uma tarefa programada que lançou a cópia do scanner sob demanda da McAfee com privilégios do SISTEMA e encostou no DLL malicioso. Este mecanismo de persistência estabeleceu uma conexão com sua infraestrutura de servidores Cobalt Strike. Para limpar as evidências, eles apagaram o binário McAfee abandonado.

Em termos de metas para esta campanha, houve algumas semelhanças entre os alvos localizados no Vietnã que a Microsoft avaliou estar vinculada à sua designação anterior como empresas estatais (SOEs). A atividade observada do BISMUTH no Vietnã teve como alvo organizações que incluíam ex-SOEs anteriormente operados pelo governo do Vietnã, entidades que adquiriram uma parcela significativa de um antigo SOE, e entidades que realizam transações com uma agência governamental vietnamita. Embora os objetivos específicos do grupo para esses ataques recentes não possam ser definidos com alta confiança, as atividades passadas do BISMUTH incluíram operações em apoio a objetivos de espionagem mais amplos.

Implantação de minerador de moedas e roubo de credenciais

Como mencionado, BISMUTH implantou mineradores de moedas durante esses ataques. Para fazer isso, eles primeiro soltaram um arquivo .dat e carregaram o arquivo usando rundll32.exe, que por sua vez baixou uma cópia da ferramenta de 7 zíper chamada 7za.exe e um arquivo ZIP. Eles então usaram o 7-Zip para extrair um minerador de moedas Monero do arquivo ZIP e registraram o mineiro como um serviço nomeado após um processo comum de Máquina Virtual. Cada minerador de moedas que eles implantaram tinha um endereço de carteira único que ganhava mais de mil dólares combinados durante os ataques.

Depois de implantar mineradores de moedas como sua técnica de distração, BISMUTH então concentrou grande parte de seus esforços no roubo de credenciais. Eles registraram vários serviços maliciosos queusaram %comspec%— uma referênciarelativa ao cmd.exe comumente usado por invasores — para executar a ferramenta Renomeada DebugView enquanto carregava um DLL malicioso. O grupo usou o DebugView e o DLL malicioso de forma bastante inesperada para lançar comandos Mimikatz codificados pela Base64 usando um dos vários processos do Windows: makecab.exe, systray.exe, w32tm.exebootcfg.exediskperf.exeesentutl.exe, e typeperf.exe.

Eles executaram os seguintes comandos Mimikatz que requerem privilégios SYSTEM ou Debug:

  • sekurlsa::logonpasswords full–lista todos os hashes de conta e senha de usuário, tipicamente credenciais de usuário e computador para usuários recentemente conectados
  • lsadump::lsa /inject— injeta LSASS para recuperar credenciais e solicitar ao Servidor LSA para obter credenciais do banco de dados do Security Account Manager (SAM) e do Active Directory (AD)

Depois de executar esses comandos, a ferramenta DebugView cooptada conectada a vários domínios controlados por invasores, provavelmente exfiltrar credenciais roubadas.

Enquanto as organizações afetadas trabalhavam para despejar o BISMUTH de suas redes, os pesquisadores de segurança da Microsoft viram atividade contínua envolvendo movimento lateral para outros dispositivos, dumping de credenciais e plantio de múltiplos métodos de persistência. Isso destaca a complexidade de responder a uma intrusão completa e o significado de tomar medidas rápidas para resolver alertas que sinalizam estágios iniciais de um ataque.

Construindo resiliência organizacional contra ataques que se misturam

Os ataques do BISMUTH colocam forte ênfase em se esconder à vista de todos, misturando-se com a atividade normal da rede ou ameaças comuns que os atacantes antecipam que receberão atenção de baixa prioridade. A combinação de engenharia social e uso de aplicativos legítimos para carregar DLLs maliciosos implicam múltiplas camadas de proteção focadas em parar ameaças o mais cedo possível e mitigar a progressão dos ataques se eles conseguirem escapar. Aqui estão as recomendações de mitigação que as organizações podem implementar para limitar a exposição:

Limitar a superfície de ataque que os atacantes podem aproveitar para acesso inicial:

  • Educar os usuários finais sobre a proteção de informações pessoais e comerciais nas mídias sociais, filtrar a comunicação não solicitada, identificar iscas em e-mails de phishing de lança e relatar tentativas de reconhecimento e outras atividades suspeitas.
  • Configurar Escritório 365 configurações de filtragem de e-mails para garantir o bloqueio de phishing e e-mails falsificados, spam e e-mails com malware. Defina o Office 365 para verificar novamente os links no clique e exclua o e-mail enviado para se beneficiar da inteligência de ameaças recém-adquirida.
  • Acovo as regras de redução da superfíciede ataque , incluindo regras que podem bloquear atividade macro avançada, conteúdo executável, criação de processos e injeção de processos iniciadas por aplicativos do Office.
  • Proibir macros ou permitir apenas macros de locais confiáveis. Veja as últimas linhas de base de segurança para o Escritório e Escritório 365.
  • Verifique o firewall e o proxy do perímetro para restringir os servidores de fazer conexões arbitrárias à internet para navegar ou baixar arquivos. Essas restrições ajudam a inibir downloads de malware e atividades de comando e controle.

Construa a higiene da credencial para reduzir o risco durante a fase de descoberta:

  • Imponha senhas de administradores locais fortes e randomizadas. Use ferramentas como LAPS.
  • Pratique o princípio do menor privilégio e mantenha a higiene credencial. Evite o uso de contas de serviço em nível de administração em todo o domínio.
  • Exija autenticação de vários fatores através do Windows Hello.

Pare a expansão do ataque e contenha o movimento do atacante:

  • Acovi a proteção fornecida pela nuvem e o envio automático de amostras no Microsoft Defender Antivirus. Esses recursos usam inteligência artificial e aprendizado de máquina para identificar e parar rapidamente ameaças novas e desconhecidas.
  • Adativa os recursos de proteção contra adulteração para evitar que os invasores parem os serviços de segurança.
  • Monitor para limpar registros de eventos. O Windows gera iD de evento de segurança 1102 quando isso ocorre.
  • Determine onde contas altamente privilegiadas estão fazendo logon e expondo credenciais. Monitore e investigue eventos de logon (ID de evento 4624) para atributos do tipo logon. Contas altamente privilegiadas não devem estar presentes em estações de trabalho.
  • Utilize o Microsoft Defender Firewall, dispositivos de prevenção de intrusões e seu firewall de rede para evitar a comunicação RPC e SMB entre os pontos finais sempre que possível. Isso limita o movimento lateral, bem como outras atividades de ataque.

Para defender melhor as organizações contra ataques que fazem de tudo para se misturar uma vez que tenham acesso a uma rede, as organizações podem construir defesas para prevenir e bloquear ataques na fase inicial de acesso. Microsoft Defender para Escritório 365 fornece recursos de defesa que protegem as organizações contra ameaças como phishing de credenciais, compromisso de e-mail de negócios e ataques cibernéticos que começam com e-mails de phishing de lança. Anexos seguros e links seguros fornecem proteção em tempo real usando uma combinação de detonação, análise automatizada e aprendizado de máquina, que são especialmente úteis para e-mails altamente direcionados e especialmente elaborados. As visualizações da campanha mostram a imagem completa das campanhas de e-mail, incluindo cronogramas, envio de padrões, impacto para a organização e detalhes como endereços IP, remetentes, URLs.

O mais amplo Microsoft 365 Defensor apresenta inteligência de ameaças entre domínios e informações acionáveis na visão de incidentes consolidados, capacitando as equipes de operações de segurança a responder de forma abrangente aos ataques. Para ameaças críticas, como campanhas do BISMUTH, os pesquisadores da Microsoft publicam relatórios de análise de ameaças que contêm detalhes técnicos, informações de detecção e status de mitigação. Ferramentas de investigação como caça avançada permitem que as equipes de segurança realizem uma inspeção adicional do ambiente para ameaças relacionadas ou semelhantes. Os dados de gerenciamento de ameaças e vulnerabilidades mostram recomendações de mitigação, incluindo permitir regras relevantes de redução da superfície de ataque, que as organizações podem tomar para reduzir riscos.

Essas capacidades líderes do setor em Microsoft 365 O Defender é apoiado pela rede de pesquisadores e especialistas em segurança da Microsoft que monitoram o cenário de ameaças e rastreiam atores de ameaças como o BISMUTH. Através Microsoft 365 Defensor, transformamos a inteligência de ameaças em proteções e ferramentas ricas de investigação que as organizações podem usar para construir resiliência organizacional. Saiba como parar os ataques através de segurança automatizada, multi-domínio e IA incorporada com o Microsoft Defender 365.

Equipe de Inteligência de Ameaças do Microsoft 365 Defender com o Microsoft Threat Intelligence Center (MSTIC)

Técnicas MITRE ATT&CK observadas

Acesso inicial

Execução

Persistência

Escalada de privilégios

Evasão de defesa

Acesso credencial

Descoberta

Coleção

Exfiltração de dados

FONTE: MICROSOFT

POSTS RELACIONADOS

Categorias

Posts Recentes

Instagram Youtube Facebook Twitter Linkedin

Feito por VP DIGITAL