0
0
Uma análise de dados associados a ataques de dia zero em 2022 sugere que os agentes de ameaças estão investigando cada vez mais os pontos fracos de segurança nas tecnologias de infraestrutura de ponta, incluindo VPNs, firewalls e produtos de gerenciamento de TI.
Pesquisadores da Mandiant rastrearam um total de 55 vulnerabilidades de dia zero que os adversários exploraram em várias campanhas maliciosas no ano passado e descobriram que 10 delas envolviam um dispositivo de ponta voltado para a Internet.
Entre eles estavam CVE-2022-1040 e CVE-2022-3236 nos firewalls Sophos, CVE-2022-20821 no Cisco IOS, CVE-2022-42474 e CVE-2022-41226 no Fortinet’s FortiOS, CVE-2022-288810 no Zoho ManageEngine e CVE-2022-35247 em SolarWinds Serv-u.
Caçando no Limite
Casey Charrier, analista sênior da Mandiant no Google Cloud, diz que os adversários estão se concentrando em tecnologias de ponta provavelmente porque percebem que as organizações corporativas têm menos recursos em detecção e resposta de endpoint (EDR) do que em monitoramento de rede.
“Esse é definitivamente um elemento que avaliamos ser o foco dos grupos de ameaças chineses no momento”, diz Charrier. “À medida que mais organizações integram dispositivos da Internet das Coisas (IoT) em seu ambiente, elas precisam levar isso em consideração ao avaliar as ferramentas de segurança e a segurança desses dispositivos”.
Os 55 dias zero que a Mandiant observou os adversários usando em 2022 são menos do que o recorde histórico de 81 que seus pesquisadores observaram em 2021. Mesmo assim, o número foi quase três vezes maior do que os 20 dias zero que a Mandiant observou sendo explorados em 2020.
Atores chineses continuam a ser os exploradores mais ativos de Zero-Days
Como tem acontecido há algum tempo, os grupos de ameaças patrocinados pelo estado chinês exploraram mais dias zero em 2022 do que qualquer outro grupo de ameaças. Dos 13 dias zero que a Mandiant conseguiu identificar como provavelmente explorados por um grupo apoiado pelo Estado, sete – ou mais da metade – envolveram um grupo chinês de ameaças persistentes avançadas (APT).
Um exemplo é o CVE-2022-30190 , uma vulnerabilidade na ferramenta de diagnóstico de suporte do Microsoft Windows que permite a execução remota de código (RCE) por meio de documentos maliciosos do Office, mesmo quando um usuário pode ter desabilitado as macros. Os agentes de ameaças chineses usaram a vulnerabilidade, também conhecida como “Follina”, em várias campanhas de ameaças ao longo do ano, tornando-a uma das falhas mais exploradas de 2022 .
Vários dos zero-days que os atores estatais chineses aproveitaram em ataques no ano passado direcionados a dispositivos de rede. Um exemplo é o CVE-2022-42475 , uma falha de estouro de buffer na tecnologia FortiOS SSL VPN que um ator baseado na China usou em uma campanha no ano passado para fornecer uma ferramenta altamente personalizada para explorar os firewalls FortiGate da Fortinet. Outra falha nesta categoria que um ator chinês abusou é CVE-2022-41328 , uma vulnerabilidade de path traversal no FortiOS. A Mandiant observou um grupo chinês identificado como UNC3886 explorando a vulnerabilidade em uma potencial campanha de ciberespionagem. O mesmo ator foi associado anteriormente a uma campanha de ataque direcionada a hipervisores VMware ESXi usando uma nova técnica com vSphere Installation Bundles maliciosos .
A Mandiant disse que também observou que a atividade de exploração de dia zero envolvendo agentes de ameaças norte-coreanos aumentou ligeiramente em 2022 em comparação com os anos anteriores. Os dois zero-days que a Mandiant identificou que os atores norte-coreanos estavam explorando foram: CVE-2022-0609, uma vulnerabilidade do Google Chrome que um grupo norte-coreano explorou em uma campanha direcionada aos setores de alta tecnologia, mídia e financeiro, e CVE-2022-41128 , um RCE no Windows Server que o APT37 da Coreia do Norte explorou em uma campanha de phishing .
Ciberataques com motivação financeira também querem entrar em ação
Atores de ameaças motivados financeiramente continuaram a ser outro conjunto de adversários que exploraram ativamente as vulnerabilidades de dia zero no ano passado, embora não na mesma extensão de 2021. Dos 16 dias zero para os quais a Mandiant foi capaz de atribuir um motivo, quatro foram usados em ataques motivados financeiramente. Muitos desses ataques envolveram implantações de ransomware. Os exemplos incluem CVE-2022-29499 , uma falha RCE em um dispositivo Mitel VoIP que um agente de ameaça usou para implantar o ransomware Lorenz e CVE-2022-41091 , ou seja, uma falha do Windows Mark of the Web que o operador do ransomware Magniber usou em uma campanha.
Desde 2019, a atividade de exploração de dia zero envolvendo grupos de ransomware tem aumentado, diz Charrier. “Este é o caso por uma variedade de razões”, observa Charrier. “Por um lado, o ransomware, como uma proporção de todas as atividades motivadas financeiramente, continuou a crescer e dominar o ecossistema criminoso.
Microsoft, Google e Apple lideraram as paradas – como sempre – em termos de número de vulnerabilidades de dia zero em seus respectivos produtos. Os três fornecedores juntos representaram 37 dos 55 dias zero que a Mandiant rastreou no ano passado. Quinze dos zero-days nos sistemas operacionais afetaram o Windows e nove dos 11 zero-days do navegador ocorreram no Google Chrome.
Ao mesmo tempo, o número de dias zero que os agentes de ameaças encontraram e exploraram em outras tecnologias também cresceu. À medida que os números de dia zero aumentam, também aumenta o número de fornecedores que são vítimas, diz Charrier: “Embora os três principais fornecedores-alvo permaneçam consistentes, a variedade de fornecedores-alvo adicionais geralmente continua a se expandir e variar a cada ano”.
FONTE: DARK READING