Como os serviços em nuvem são explorados pela espionagem cibernética?

Views: 138
0 0
Read Time:5 Minute, 12 Second

Dados recentes mostram como a exploração da nuvem está progressivamente se tornando comum, até mesmo em operações de espionagem cibernética

Por Paolo Passeri

Do ponto de vista da segurança da informação, 2020 foi um ano complicado. Não apenas a pandemia afetou o cenário de ameaças, mas os ataques de ransomware de dupla extorsão se tornaram frequentes. Em dezembro foram descobertas campanhas massivas de supply chain, cujo alcance ainda não está claro.

Algo que vale ser mencionado é o surgimento do armamento de serviços em nuvem por grupos patrocinados por governos em 2020. Explorar a nuvem para fins criminosos, por meio de phishing e malware (o ransomware Ryuk é um dos mais notáveis) é, infelizmente, uma tendência consolidada. No entanto, alguns dados recentes mostram como a exploração da nuvem está progressivamente se tornando comum, até mesmo em operações de espionagem cibernética, onde serviços legítimos são utilizados para entregar a carga maliciosa inserida numa kill chain com vários estágios, acrescentando uma camada adicional de evasão.

MuddyWater e GitHub

MuddyWater (também conhecido como Seedworm e TEMP.Zagros) é um grupo de ameaça iraniano que visa principalmente o Oriente Médio, mas também a Europa e a América do Norte. As vítimas do grupo são principalmente nos setores de telecomunicações, governo (serviços de TI) e petróleo.

Em campanha recente, o grupo implementou uma kill chain complexa, em que a cepa do malware é entregue por meio de um arquivo Word, com uma macro incorporada. Quando a macro é executada, inicia-se um Powershell que baixa e executa um script Powershell do GitHub. Este script Powershell então baixa um arquivo PNG do serviço de hospedagem de imagens Imgur e, por meio de esteganografia, os valores de pixel da imagem são usados para decodificar um script Cobalt Strike que se conecta ao comando e controle para receber instruções adicionais.

Cobalt Strike é uma ferramenta de teste de penetração que permite, entre outras coisas, a execução de comandos no endpoint e costuma ser usada como arma por atores mal intencionados (como neste caso). Essa característica benigna é explorada pelos invasores, pois a carga maliciosa decodificada inclui um string EICAR (Standard-antivirus-test-file), para enganar ferramentas de análise e analistas de SOC, fazendo-os acreditar que a carga maliciosa é parte de um teste.

Esta campanha tem um grau de complexidade incomum com múltiplos estágios que fornecem diferentes níveis de evasão: a exploração de um serviço em nuvem reconhecido, esteganografia e o  armamento de uma ferramenta de segurança.

Coquetel de serviços em nuvem para Molerats

Pesquisadores de segurança da Cybereason revelaram recentemente os detalhes de uma campanha de espionagem ativa realizada por Molerats (também conhecido como The Gaza Cybergang), um grupo de intimidação motivado politicamente com vítimas, principalmente, no Oriente Médio, Europa e Estados Unidos. Esta campanha, destinada a alvos de língua árabe, utilizou dois backdoors, não identificados anteriormente, chamados Sharpstage e DropBook (este segundo nome pode soar familiar) e explorou vários serviços em nuvem para as fases de entrega de malware (Dropbox e Google Drive) e comando e controle (novamente Dropbox e Facebook, daí o nome DropBook referente ao segundo backdoor).

A cadeia de ataque se inicia com documentos de phishing entregues por meio de engenharia social, com temas relacionados a assuntos atuais do Oriente Médio. Uma vez executado, os documentos de isca baixam os dois backdoors do Dropbox ou do Google Drive.

• SharpStage é um malware .NET com capacidades de backdoor. Entre os diferentes recursos maliciosos, o backdoor implementa um client Dropbox que exfiltra (rouba) os dados;

• Dropbook é um backdoor Python que pode executar comandos recebidos do Facebook e também baixar e executar cargas maliciosas adicionais do Dropbox.

Não é novidade que, conforme observado pelos pesquisadores, a exploração de serviços em nuvem tem o propósito de evitar a detecção e tornar a infraestrutura maliciosa resiliente:

Ambos os backdoors operam de maneira furtiva, ao implementar o serviço legítimo de armazenamento em nuvem Dropbox para exfiltrar as informações roubadas de seus alvos, evitando assim a detecção ou remoção, ao utilizar um serviço da web legítimo. Além disso, o DropBook  explora a plataforma Facebook, onde os operadores de backdoor criam contas fake para controlar o backdoor e se esconderem da vista de todos. O DropBook difere das outras ferramentas de espionagem, pois depende apenas de contas fake do Facebook para que o C2 (Comando e Controle) receba instruções de seus operadores. Embora a exploração das redes sociais para a comunicação C2 não seja novidade, não é algo observado com frequência.

Às vezes eles voltam

No último exemplo, um trojan backdoor de 13 anos, apelidado de Bandook (uma ferramenta de acesso remoto disponível desde 2007) voltou do passado para efetuar uma nova campanha de espionagem envolvendo vários alvos em todo mundo, numa adaptação à tendência de exploração da nuvem dentro de uma  complexa estratégia de várias etapas,  kill chain.

Mesmo neste caso, a cadeia de ataque é bastante sofisticada e pode ser simplificada da seguinte forma:

• O malware atinge os computadores dos alvos como um documento Microsoft Word malicioso dentro de um arquivo .zip. Os documentos estão relacionados a serviços baseados em nuvem como Office365, OneDrive e Azure, e o conteúdo pode ser acessado apenas se as vítimas clicarem em “Habilitar Conteúdo”;

• Assim que o documento é aberto, uma macro maliciosa é baixada por meio de um template externo (invisível para a vítima), que carrega uma carga maliciosa em um segundo estágio: um script PowerShell que, após várias etapas, faz o download de um arquivo zip contendo três arquivos de um dos os seguintes serviços de nuvem, como Dropbox, Bitbucket ou um  S3 bucket;

• Os arquivos baixados (disfarçados como imagens) são combinados na máquina da vítima para construir o Bandook Loader final que, usando a técnica de Process Hollowing, cria uma nova instância de um processo do Internet Explorer e injeta uma carga maliciosa nele.

Todas as três campanhas de espionagem cibernética compartilham um aspecto comum: uma kill chain que implementa vários mecanismos de evasão, incluindo o abuso de serviços de nuvem legítimos para distribuir a carga maliciosa.

*Paolo Passeri, Diretor de inteligência cibernética da Netskope

FONTE: SECURITY REPORT

Previous post Especialistas alertam sobre riscos dos sites que checam vazamento de dados
Next post Descoberta rede de extensões maliciosas de navegadores que infectou milhões de usuários

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *