0
0
Uma ameaça persistente avançada (APT) de língua chinesa (APT) anteriormente desconhecida está explorando a vulnerabilidade do ProxyLogon do Microsoft Exchange para implantar o malware ShadowPad, disseram os pesquisadores — com o objetivo final de assumir os sistemas de automação de construção (BAS) e se aprofundar nas redes.
Isso é de acordo com pesquisadores da Kaspersky ICS CERT, que disseram que as infecções afetaram os sistemas de controle industrial (ICS) e empresas de telecomunicações no Afeganistão e no Paquistão, bem como uma organização de logística e transporte na Malásia. Os ataques vieram à tona em outubro, mas parecem datar de março de 2021.
“Acreditamos que é altamente provável que esse ator de ameaça ataque novamente e encontraremos novas vítimas em diferentes países”, de acordo com a análise da Kaspersky na segunda-feira.
Nesta onda específica de ataques, a Kaspersky observou um conjunto exclusivo de táticas, técnicas e procedimentos (TTPs) que ligam os incidentes, incluindo atacantes que comprometem os computadores de engenharia BAS como seu ponto de acesso inicial. Os pesquisadores observaram que este é um movimento incomum para um grupo APT, apesar do malware de prova de conceito estar disponível para essas plataformas.
“Os sistemas de automação predial são alvos raros para atores de ameaças avançadas”, disse Kirill Kruglov, especialista em segurança da Kaspersky ICS CERT, no alerta. “No entanto, esses sistemas podem ser uma fonte valiosa de informações altamente confidenciais e podem fornecer aos atacantes uma porta traseira para outras áreas de infraestrutura mais seguras.”
Os ataques também ameaçam a integridade física dos edifícios, alertaram os pesquisadores. A infraestrutura BAS une recursos operacionais, como eletricidade, iluminação, sistemas HVAC, alarmes de incêndio e câmeras de segurança, para que possam ser gerenciados a partir de um único console de gerenciamento.
“Uma vez que um BAS é comprometido, todos os processos dentro deles estão em risco, incluindo aqueles relacionados à segurança da informação”, de acordo com o alerta da Kaspersky sobre os ataques.
Em um exemplo do mundo real desse tipo raro de ataque, em dezembro passado, uma empresa de engenharia de automação predial perdeu de repente o contato com centenas de seus dispositivos BAS, incluindo interruptores de luz, detectores de movimento, controladores de obturador e outros – depois de ser bloqueada com a própria chave de segurança digital do sistema, que os atacantes sequestraram. A empresa teve que voltar a ligar e desligar manualmente os disjuntores centrais para ligar as luzes do prédio.
ProxyLogon leva ao malware ShadowPad em infecções furtivas
Em muitos casos, os cibercongressantes exploraram a vulnerabilidade de execução remota de código (RCE) do ProxyLogon no MS Exchange (CVE-2021-26855), acrescentou a empresa. Quando usados em uma cadeia de ataque, os exploits para esses ProxyLogon podem permitir que um invasor se autentique como o servidor Exchange e implante um shell da Web para que eles possam controlar remotamente o servidor de destino.
O ProxyLogon foi divulgado em março de 2021 depois de ser explorado como um bug de dia zero por um grupo patrocinado pelo estado chinês que a Microsoft chama de Hafnium — mas logo uma matriz vertiginosa de grupos de ameaças se acumulou para explorar o problema para permitir diferentes tipos de ataques.
Nesse caso, uma vez dentro, o APT implanta o Trojan de acesso remoto ShadowPad (RAT) — um backdoor e carregador populares usados por vários APTs chineses. De acordo com a análise anterior da Secureworks, o ShadowPad é avançado e modular, implantado pela primeira vez pelo grupo de ameaças “Bronze Atlas” em 2017. “Uma lista crescente de outros grupos de ameaças chineses a implantou globalmente desde 2019 em ataques contra organizações em várias verticais do setor”, observou o relatório.
Pesquisadores da Kaspersky disseram que nos ataques da BAS, “o backdoor ShadowPad foi baixado para os computadores atacados sob o disfarce de software legítimo”.
Especificamente, o malware originalmente disfarçado de arquivo mscoree.dll, que é um arquivo de biblioteca da Microsoft essencial para a execução de aplicativos de “código gerenciado” escritos para uso com o . NET Framework. Como tal, o malware foi lançado pelo aplicativo legítimo AppLaunch.exe, que por sua vez foi executado criando uma tarefa no Agendador de Tarefas do Windows. No outono passado, os atacantes passaram a usar a técnica de seqüestramento de DLL em software legítimo para visualizar objetos OLE-COM (OleView). O Agendador de Tarefas do Windows também é usado na abordagem mais recente. Em ambos os casos, o uso de tais ferramentas de vida ao ar (ou seja, software nativo legítimo) significa que é improvável que a atividade levante quaisquer sinalizadores de invasão do sistema.
Após a infecção inicial, os atacantes primeiro enviaram comandos manualmente e, em seguida, automaticamente, para implantar ferramentas adicionais. Os pesquisadores disseram que eles incluíam o seguinte:
- A estrutura CobaltStrike (para movimento lateral)
- Mimikatz (para roubar credenciais)
- O conhecido Rat PlugX
- Arquivos BAT (para roubar credenciais)
- Shells da Web (para acesso remoto ao servidor Web)
- O utilitário Nextnet (para verificar hosts de rede)
“Os artefatos encontrados indicam que os atacantes roubaram credenciais de autenticação de domínio de pelo menos uma conta em cada organização atacada (provavelmente do mesmo computador que foi usado para penetrar na rede)”, de acordo com a Kaspersky. “Essas credenciais foram usadas para espalhar ainda mais o ataque pela rede … não sabemos o objetivo final do atacante. Achamos que provavelmente foi a coleta de dados.”
Como se Proteger contra Ataques APT Visando BAS, Infraestrutura Crítica
Os ataques se desenvolvem “extremamente rapidamente”, disse Kaspersky, então a detecção e mitigação precoces são fundamentais para minimizar os danos. Os pesquisadores recomendaram as seguintes melhores práticas para proteger a infraestrutura industrial, incluindo pegadas BAS:
- Atualize regularmente os sistemas operacionais e qualquer software aplicativo que faça parte da rede da empresa. Aplique correções e patches de segurança a equipamentos de rede de tecnologia operacional (OT), como o BAS, assim que estiverem disponíveis.
- Realize auditorias de segurança regulares dos sistemas OT para identificar e eliminar possíveis vulnerabilidades.
- Use soluções de monitoramento, análise e detecção de tráfego de rede OT para melhor proteção contra ataques que potencialmente ameaçam os sistemas OT e os principais ativos corporativos.
- Forneça treinamento dedicado de segurança OT para equipes de segurança de TI e engenheiros de OT.
- Forneça à equipe de segurança responsável por proteger o ICS informações atualizadas sobre ameaças.
- Use soluções de segurança em camadas para terminais e redes OT.
FONTE: DARK READING