Servidores Microsoft Exchange comprometidos pelo Turla APT

Views: 258
0 0
Read Time:1 Minute, 41 Second

Turla APT

Turla (também conhecido como Secret Blizzard, Snake , UAC-0003) é um grupo APT sofisticado e persistente que está ativo há mais de 10 anos e acredita-se que seja patrocinado pelo estado russo.

O grupo está vinculado a muitos ataques cibernéticos direcionados a organizações governamentais e militares, bem como a campanhas de espionagem cibernética contra outras organizações que possuem informações que o governo russo pode considerar úteis.

O ataque

Esta última rodada de ataques divulgados começou com e-mails de contas de e-mail UKR.NET ( provavelmente comprometidas ), entregando documentos com macros maliciosas e acionando o download do malware backdoor DeliveryCheck (CAPIBAR, GAMEDAY).

O malware se conecta ao servidor C2 para recuperar seus “pedidos”, que podem incluir a exfiltração de arquivos por meio de ferramentas de código aberto, como o rclone e, em alguns casos, o download e a implantação de um backdoor adicional chamado Kazuar.

A Microsoft diz que o Kazuar é um “implante completo”. De acordo com o CERT-UA (Computer Emergency Response Team of Ukraine), o Kazuar pode implementar mais de 40 funções que permitem, entre outras coisas, coletar dados de logs do sistema operacional, roubar dados de autenticação (senhas, favoritos, preenchimento automático, histórico, proxies, cookies, etc.)

“O agente da ameaça visa especificamente exfiltrar arquivos contendo mensagens do popular aplicativo de mensagens Signal Desktop, o que permitiria ao agente ler conversas privadas do Signal, bem como documentos, imagens e arquivos compactados nos sistemas de destino”, observou a Microsoft.

Turla usa servidores Microsoft Exchange comprometidos

Turla também usou o Desired State Configuration (DSC) – um recurso do PowerShell que permite aos administradores automatizar a configuração do Linux e do Windows – para instalar componentes do lado do servidor do malware DeliveryCheck nos servidores Microsoft Exchange.

“O DSC gera um arquivo de formato de objeto gerenciado ( MOF ) contendo um script do PowerShell que carrega a carga .NET incorporada na memória, transformando efetivamente um servidor legítimo em um centro C2 de malware”, explicou a Microsoft.

FONTE: HELP NET SECURITY

POSTS RELACIONADOS