0
0
Por Paolo Passeri
A exploração de serviços em nuvem é uma arma flexível nas mãos dos invasores, tão flexível que diariamente descobrimos novas campanhas que abusam de aplicativos legítimos. Quer os agentes das ameaças sejam motivados pelo cibercrime ou pela ciberespionagem, continuam a visar diferentes públicos em diferentes regiões geográficas do mundo, explorando diferentes serviços em diferentes fases da cadeia de ataque (principalmente entrega e distribuição de malware, mas também comando e controlo, juntamente com o campanhas emergentes de spearphishing adaptadas especificamente para contas na nuvem).
Dois exemplos recentes levam-nos ao Brasil e à Coreia, onde duas operações distintas forneceram provas adicionais e desnecessárias de como os serviços legítimos da Internet podem ser facilmente adaptados para múltiplas funções e múltiplos propósitos no decurso de uma operação maliciosa.
Em maio, pesquisadores do HarfangLab no Brasil descobriram uma campanha maliciosa que entregava uma carga chamada “AllaSenha” (mais uma variante de um velho conhecido dos usuários na América Latina: AllaKore, uma ferramenta de acesso remoto de código aberto). Essa variante, caracterizada por uma intrincada cadeia de infecção envolvendo scripts Python e um carregador desenvolvido em Delphi, tem como objetivo específico roubar credenciais de contas bancárias brasileiras e também aproveitar o Azure como sua infraestrutura de comando e controle (C2). O Azure é particularmente flexível para os atacantes, pois fornece múltiplas ferramentas que podem ser utilizadas de forma abusiva, e não apenas por criminosos oportunistas. Por exemplo, em Fevereiro de 2024, investigadores da Mandiant descobriram uma campanha de ciberespionagem levada a cabo por um actor de ameaça iraniano identificado como UNC1549, explorando uma rede de mais de 125 subdomínios de comando e controlo (C2) do Azure.
Quase ao mesmo tempo, pesquisadores do AhnLab descobriram que os cibercriminosos estavam bastante ocupados na Coreia do Sul, distribuindo um coquetel de malware (trojans de acesso remoto, mineradores de criptomoedas, downloaders de malware, ferramentas de proxy e programas anti-AV) por meio de versões crackeadas do Microsoft Office. (mais uma vez um aviso para não instalar aplicativos não aprovados em dispositivos corporativos). Não é novidade que o instalador crackeado, com uma interface bem elaborada, lançou em segundo plano um malware .NET ofuscado que entra em contato com um canal Telegram ou Mastodon para receber um URL de download válido do Google Drive ou GitHub, de onde baixa uma carga ofuscada contendo o comando do PowerShell que em última análise, no final da complexa cadeia de ataque, instala as cepas de malware no sistema.
Embora estes ataques possam ocorrer em países diferentes, envolver diferentes actores de ameaças e ter motivações diferentes, um denominador comum é a exploração de serviços legítimos para tornar o ataque mais evasivo, ocultando o tráfego malicioso dentro de sessões legítimas dirigidas a aplicações confiáveis que muitas vezes permitem listadas pelas organizações, ou pelo menos não inspecionadas adequadamente.
Mitigação do risco de serviços de nuvem legítimos explorados para distribuição de malware ou comando e controle
Azure, Google Drive e GitHub estão entre os milhares de serviços em nuvem onde o Netskope Next Gen SWG pode fornecer controle de acesso adaptativo, proteção contra ameaças e prevenção contra perda de dados com uma granularidade impossível para qualquer outra tecnologia de segurança da web. Portanto, nos casos em que esses serviços ou aplicativos similares de armazenamento em nuvem não são necessários para a organização, mas são explorados por invasores externos para entregar uma carga maliciosa ou para hospedar a infraestrutura de comando e controle, é possível configurar uma política para prevenir ataques potencialmente perigosos. atividades (como “Upload” e “Download”) do serviço específico ou de toda a categoria a que pertence.
Os clientes da Netskope também estão protegidos contra malware distribuído pela nuvem (e pela web em geral) pelo Netskope Threat Protection. O Netskope Threat Protection verifica o tráfego da web e da nuvem para detectar ameaças conhecidas e desconhecidas com um conjunto abrangente de mecanismos, incluindo AV baseado em assinatura, detectores de aprendizado de máquina para executáveis e documentos do Office e sandboxing com proteção do paciente zero. Os recursos de proteção contra ameaças podem ser aprimorados ainda mais por meio do Netskope Cloud Exchange, que fornece integrações poderosas para alavancar investimentos na postura de segurança dos usuários por meio da integração com ferramentas de terceiros, como feeds de inteligência contra ameaças, proteção de endpoint e tecnologias de proteção de e-mail.
Por fim, o Netskope Advanced Analytics fornece painéis específicos para avaliar o risco de instâncias de nuvem não autorizadas serem exploradas para entregar malware ou o risco de se tornarem alvo de comunicações anômalas, com detalhes e insights ricos, apoiando as equipes de segurança no processo de análise e mitigação/remediação.
Esse artigo tem informações retiradas do blog da Netskope. A Neotel é parceira da Netskope e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.