0
0
Uma ameaça persistente avançada (APT) de língua chinesa anteriormente desconhecida está explorando a vulnerabilidade ProxyLogon Microsoft Exchange para implantar o malware ShadowPad, disseram os pesquisadores – com o objetivo final de assumir os sistemas de automação de edifícios (BAS) e se aprofundar nas redes.
Isso é de acordo com pesquisadores da Kaspersky ICS CERT, que disseram que as infecções afetaram os sistemas de controle industrial (ICS) e empresas de telecomunicações no Afeganistão e no Paquistão, bem como uma organização de logística e transporte na Malásia. Os ataques vieram à tona em outubro, mas parecem remontar a março de 2021.
“Acreditamos que é altamente provável que esse ator de ameaças ataque novamente e encontremos novas vítimas em diferentes países”, de acordo com a análise de segunda-feira da Kaspersky.
Nesta série específica de ataques, a Kaspersky observou um conjunto único de táticas, técnicas e procedimentos (TTPs) ligando os incidentes, incluindo atacantes comprometendo os computadores de engenharia BAS como seu ponto de acesso inicial. Os pesquisadores observaram que este é um movimento incomum para um grupo APT, apesar do malware de prova de conceito estar disponível para essas plataformas.
“Sistemas de automação de construção são alvos raros para atores avançados de ameaças”, disse Kirill Kruglov, especialista em segurança da Kaspersky ICS CERT, no alerta. “No entanto, esses sistemas podem ser uma fonte valiosa de informações altamente confidenciais e podem fornecer aos atacantes uma porta dos fundos para outras áreas mais seguras de infraestruturas.”
Os ataques também ameaçam a integridade física dos edifícios, alertaram os pesquisadores. A infraestrutura BAS une recursos operacionais, como eletricidade, iluminação, sistemas HVAC, alarmes de incêndio e câmeras de segurança, para que possam ser gerenciados a partir de um único console de gerenciamento.
“Uma vez que um BAS é comprometido, todos os processos dentro deles estão em risco, incluindo aqueles relacionados à segurança da informação”, de acordo com o alerta da Kaspersky sobre os ataques.
Em um exemplo do mundo real desse tipo raro de ataque, em dezembro passado, uma empresa de engenharia de automação predial de repente perdeu contato com centenas de seus dispositivos BAS, incluindo interruptores de luz, detectores de movimento, controladores de obturador e outros – depois de ser bloqueada com a própria chave de segurança digital do sistema, que os atacantes sequestraram. A empresa teve que voltar a ligar e desligar manualmente os disjuntores centrais para ligar as luzes do prédio.
ProxyLogon leva ao ShadowPad Malware em Infecções Furtivas
Em muitos casos, os ciberatacantes exploraram a vulnerabilidade de execução de código remoto ProxyLogon (RCE) no MS Exchange (CVE-2021-26855), acrescentou a empresa. Quando usados em uma cadeia de ataques, os exploits desses ProxyLogon podem permitir que um invasor se autentique como o servidor Exchange e implante um shell da Web para que ele possa controlar remotamente o servidor de destino.
O ProxyLogon foi divulgado em março de 2021 depois de ser explorado como um bug de dia zero por um grupo patrocinado pelo estado chinês que a Microsoft chama de Hafnium — mas logo uma matriz vertiginosa de grupos de ameaças se acumulou para explorar o problema para permitir diferentes tipos de ataques.
Neste caso, uma vez dentro, o APT implanta o Trojan de acesso remoto ShadowPad (RAT) — um popular backdoor e carregador usado por vários APTs chineses. De acordo com a análise anterior da Secureworks, o ShadowPad é avançado e modular, implantado pela primeira vez pelo grupo de ameaças “Bronze Atlas” em 2017. “Uma lista crescente de outros grupos de ameaças chineses a implantou globalmente desde 2019 em ataques contra organizações em várias verticais do setor”, observou o relatório.
Os pesquisadores da Kaspersky disseram que, nos ataques BAS, “o backdoor ShadowPad foi baixado para os computadores atacados sob o disfarce de software legítimo”.
Especificamente, o malware originalmente se disfarçou de arquivo mscoree.dll, que é um arquivo de biblioteca da Microsoft essencial para a execução de aplicativos de “código gerenciado” escritos para uso com o . Estrutura NET. Como tal, o malware foi iniciado pelo aplicativo legítimo AppLaunch.exe, que por sua vez foi executado criando uma tarefa no Agendador de Tarefas do Windows. No outono passado, os atacantes mudaram para o uso da técnica de sequestro de DLL em software legítimo para visualizar objetos OLE-COM (OleView). O Agendador de Tarefas do Windows também é usado na abordagem mais recente. Em ambos os casos, o uso de ferramentas de vida (ou seja, software nativo legítimo) significa que é improvável que a atividade levante quaisquer sinalizadores de intrusão do sistema.
Após a infecção inicial, os atacantes primeiro enviaram comandos manualmente e, automaticamente, para implantar ferramentas adicionais. Os pesquisadores disseram que eles incluíram o seguinte:
- A estrutura CobaltStrike (para movimento lateral)
- Mimikatz (para roubar credenciais)
- O conhecido PlugX RAT
- Arquivos BAT (para roubar credenciais)
- Shells da Web (para acesso remoto ao servidor da Web)
- O utilitário Nextnet (para verificar hosts de rede)
“Os artefatos encontrados indicam que os atacantes roubaram credenciais de autenticação de domínio de pelo menos uma conta em cada organização atacada (provavelmente do mesmo computador que foi usado para penetrar na rede)”, de acordo com a Kaspersky. “Essas credenciais foram usadas para espalhar ainda mais o ataque pela rede … não sabemos o objetivo final do atacante. Achamos que provavelmente foi a coleta de dados.”
Como se Proteger Contra Ataques APT Segmentando BAS, Infraestrutura Crítica
Os ataques se desenvolvem “extremamente rapidamente”, disse Kaspersky, portanto, a detecção e a mitigação precoces do estado são fundamentais para minimizar os danos. Os pesquisadores recomendaram as seguintes melhores práticas para proteger a infraestrutura industrial, incluindo pegadas BAS:
- Atualize regularmente os sistemas operacionais e qualquer software aplicativo que faça parte da rede da empresa. Aplique correções e patches de segurança a equipamentos de rede de tecnologia operacional (OT), como o BAS, assim que estiverem disponíveis.
- Realize auditorias regulares de segurança dos sistemas OT para identificar e eliminar possíveis vulnerabilidades.
- Use soluções de monitoramento, análise e detecção de tráfego de rede OT para melhor proteção contra ataques que potencialmente ameaçam sistemas OT e os principais ativos corporativos.
- Forneça treinamento dedicado de segurança OT para equipes de segurança de TI e engenheiros de OT.
- Forneça à equipe de segurança responsável por proteger o ICS informações atualizadas sobre ameaças.
- Use soluções de segurança em camadas para terminais e redes OT.
FONTE: DARK READING