0
0
Agentes cibernéticos afiliados ao Serviço russo de Inteligência Estrangeira (SVR) mudaram suas táticas em resposta às divulgações públicas anteriores de seus métodos de ataque, de acordo com um novo aviso publicado conjuntamente por agências de inteligência do Reino Unido e dos EUA na sexta-feira.
“Os operadores cibernéticos SVR parecem ter reagido […] mudando seus TTPs na tentativa de evitar novos esforços de detecção e remediação por parte dos defensores da rede”, disseo National Cyber Security Centre (NCSC).
Isso inclui a implantação de uma ferramenta de código aberto chamada Sliver para manter seu acesso a vítimas comprometidas, bem como aproveitar as falhas do ProxyLogon nos servidores do Microsoft Exchange para realizar atividades pós-exploração.
O desenvolvimento segue a atribuição pública de atores ligados ao SVR ao ataque da cadeia de suprimentos SolarWinds no mês passado. O adversário também é rastreado sob diferentes apelidos, como Advanced Persistent Threat 29 (APT29), Dukes, CozyBear e Yttrium.
A atribuição também foi acompanhada por um relatório técnico detalhando cinco vulnerabilidades que o grupo APT29 da SVR estava usando como pontos de acesso iniciais para se infiltrar em entidades americanas e estrangeiras.
- CVE-2018-13379 – Fortinet FortiGate VPN
- CVE-2019-9670 – Synacor Zimbra Collaboration Suite
- CVE-2019-11510 – Pulse Secure Pulse Connect Secure VPN
- CVE-2019-19781 – Controlador de Entrega de Aplicativos Citrix e Gateway
- CVE-2020-4006 – VMware Workspace ONE Access
“O SVR tem como alvo organizações que se alinham com os interesses de inteligência estrangeira russos, incluindo metas governamentais, think-tank, políticas e energéticas, bem como mais tempo de direcionamento, por exemplo, a meta de vacinas COVID-19 em 2020″, disse o NCSC.
Isso foi seguido por uma orientação separada em 26 de abril que lançou mais luz sobre as técnicas usadas pelo grupo para orquestrar invasões, contando pulverização de senhas, explorando falhas de zero-day contra dispositivos de rede privada virtual (por exemplo, CVE-2019-19781) para obter acesso à rede e implantando um malware golang chamado WELLMESS para saquear propriedade intelectual de múltiplas organizações envolvidas no desenvolvimento de vacinas COVID-19.
Agora, de acordo com o NCSC, mais sete vulnerabilidades foram adicionadas ao mix, observando que o APT29 provavelmente “rapidamente” armará vulnerabilidades públicas recentemente lançadas que poderiam permitir o acesso inicial aos seus alvos.
- CVE-2019-1653 – Cisco Small Business RV320 e RV325 Roteadores
- CVE-2019-2725 – Oracle WebLogic Server
- CVE-2019-7609 – Kibana
- CVE-2020-5902 – F5 Big-IP
- CVE-2020-14882 – Oracle WebLogic Server
- CVE-2021-21972 – VMware vSphere
- CVE-2021-26855 – Microsoft Exchange Server
“Os defensores da rede devem garantir que os patches de segurança sejam aplicados prontamente após os anúncios da CVE para os produtos que gerenciam”, disse a agência.
FONTE: THE HACKER NEWS