Trend Micro descobre novo tipo de ataque multicamada

Views: 324
0 0
Read Time:1 Minute, 53 Second

O início do ano é o momento oportuno para fazer um balanço de como as empresas podem fortalecer sua postura de segurança e reforçar suas defesas. Embora as organizações possam ter soluções de cibersegurança de ponta ao seu lado, os agentes mal-intencionados continuam trabalhando para refinar seus métodos e aproveitar as vulnerabilidades sempre que podem. Uma mentalidade proativa, portanto, é fundamental.

A equipe por trás da solução Trend Micro Managed XDR (MDR) abordou recentemente um incidente encontrado por um dos clientes da Trend Micro. Ele mostrou como um agente malicioso lançou um ataque furtivo em várias camadas que primeiro explorou uma vulnerabilidade de endpoint como um caminho para o movimento lateral. Da instalação de um web shell no servidor de nuvem comprometido por meio de uma exploração do ProxyShell, o ataque persistente progrediu para o uso de ferramentas legítimas de acesso remoto, incluindo o Remote Desktop Protocol (RDP) como seu meio final de invasão.

Primeiro foi encontrado um malware em um endpoint que o produto colocou em quarentena. Embora as plataformas tradicionais de proteção de endpoint (EPPs) parassem nesse estágio, o MDR levou em consideração o contexto da detecção. A detecção foi um malware web shell identificado como Possible_SMWEBSHELLYXBH5A, que foi encontrado em um servidor Microsoft Exchange. Isso significava uma alta probabilidade de o servidor ter sido comprometido por uma vulnerabilidade. Nesse caso, a exploração provavelmente envolveu três vulnerabilidades do ProxyShell: CVE-2021-31207, CVE-2021-34473 e CVE-2021-34523. Isso levou a equipe a ativar o modo de resposta a incidentes e alertar o cliente envolvido.

O incidente demonstrou como é crucial que as equipes de segurança adotem uma abordagem integrada para detecção, monitoramento e resposta de ameaças para lidar com ataques rapidamente, especialmente agora que os acordos de trabalho remoto se tornaram comuns para as empresas devido à pandemia de Covid-19.

Incidentes como esse oferecem às equipes de segurança oportunidades de ver os ataques de diferentes ângulos e de uma maneira geral. Discutindo os principais insights as empresas podem considerar ao adotar uma abordagem proativa de segurança cibernética para garantir a máxima proteção de seus sistemas.

Veja passo a passo como aconteceu o ataque AQUI.

FONTE: TI INSIDE

POSTS RELACIONADOS