0
0
A recém-descoberta ameaça persistente avançada (APT) “Volt Typhoon”, também conhecida como “Vanguard Panda”, foi detectada usando uma vulnerabilidade crítica no ManageEngine ADSelfService Plus da Zoho, uma solução de logon único e gerenciamento de senhas. E agora está ostentando muitos mecanismos furtivos não revelados anteriormente.
O Volt Typhoon veio à tona no mês passado, graças a relatórios conjuntos da Microsoft e de várias agências governamentais. Os relatórios destacaram a infecção do grupo de infraestrutura crítica na região do Pacífico, a ser usada como uma possível futura cabeça de praia em caso de conflito com Taiwan.
Os relatórios detalharam uma série de táticas, técnicas e procedimentos (TTPs) do Volt Typhoon, incluindo o uso de dispositivos Fortinet FortiGuard expostos à internet para intrusão inicial e a ocultação da atividade de rede por meio de roteadores, firewalls e hardware VPN comprometidos.
Mas uma campanha recente delineada pelo CrowdStrike em um post recente sugere que o Volt Typhoon é flexível, com a capacidade de personalizar suas táticas com base em dados coletados por meio de amplo reconhecimento. Nesse caso, o grupo utilizou CVE-2021-40539 no ManageEngine para intrusão, depois mascarou seu shell da Web como um processo legítimo e apagou logs à medida que avançava.
Essas táticas até então desconhecidas permitiram “acesso generalizado ao ambiente da vítima por um longo período”, diz Tom Etheridge, diretor global de serviços profissionais da CrowdStrike, que não revelou detalhes sobre a localização ou o perfil da vítima. “Eles estavam familiarizados com a infraestrutura que o cliente tinha e foram diligentes na limpeza de seus trilhos.”
As táticas cibernéticas em evolução do Volt Typhoon
Os sentidos picantes dos pesquisadores do CrowdStrike formigaram quando atividades suspeitas pareciam emanar da rede de seu cliente não identificado.
A entidade então não reconhecida parecia estar realizando uma extensa coleta de informações — testando a conectividade de rede, listando processos, coletando informações do usuário e muito mais. Ele “indicou uma familiaridade com o ambiente de destino, devido à rápida sucessão de seus comandos, além de ter nomes de host internos específicos e IPs para ping, compartilhamentos remotos para montar e credenciais de texto simples para usar para [Instrumentação de Gerenciamento do Windows]”, escreveram os pesquisadores em sua postagem no blog.
Descobriu-se, depois de algumas investigações, que o atacante – Volt Typhoon – havia implantado um webshell na rede seis meses antes. Como passou despercebido por tanto tempo?
A história começou com CVE-2021-40539, uma vulnerabilidade crítica (pontuação CVSS) de execução remota de código (RCE) no ADSelfService Plus. O software ManageEngine, e o ADSelfService Plus em particular, foi criticamente exposto em várias ocasiões nos últimos anos (CVE-9-8 nem é sua mais recente vulnerabilidade crítica crítica 2021.40539 CVSS RCE — esse título vai para CVE-9-8).
Com o acesso inicial, os invasores conseguiram soltar um shell da Web. Aqui foi onde a discrição mais interessante começou, como os pesquisadores observaram “o webshell estava tentando se disfarçar como um arquivo legítimo do ManageEngine ADSelfService Plus, definindo seu título como ManageEngine ADSelfService Plus e adicionando links para software legítimo de central de suporte empresarial”.
O grupo passou a desviar credenciais de administrador e mover-se lateralmente na rede. Desta vez, a empresa adotou uma abordagem mais crua e manual para cobrir seus rastros, indo a “comprimentos extensos para limpar vários arquivos de log e remover arquivos em excesso do disco”, explicaram os pesquisadores.
A adulteração de evidências foi extensa, quase eliminando todos os vestígios de atividade maliciosa. No entanto, os invasores esqueceram de apagar o código-fonte Java e compilaram arquivos de classe de seu servidor Web Apache Tomcat de destino.
“Se não fosse esse pequeno deslize que foi relatado no blog, eles provavelmente teriam passado despercebidos”, diz Etheridge.
Como se defender contra ataques cibernéticos do tufão Volt
Até agora, o Volt Typhoon foi observado visando organizações nos setores de comunicações, manufatura, serviços públicos, transporte, construção, marítimo, governo, tecnologia da informação e educação. É mais notável, no entanto, por buscar infraestrutura crítica nos Estados Unidos e em Guam – um ponto estratégico da defesa americana de Taiwan contra a China.
De acordo com Etheridge, alguns dos mesmos princípios neste estudo de caso poderiam ser igualmente aplicados a uma violação de infraestrutura crítica. “Ambientes do tipo tecnologia operacional (OT) normalmente são direcionados por meio da infraestrutura de TI primeiro, antes que o agente da ameaça se mova para a infraestrutura”, ressalta. “Certamente as táticas que vemos eles implantando seriam preocupantes do ponto de vista da infraestrutura crítica.”
Para enfrentar a ameaça do Volt Typhoon, diz Etheridge, um ponto importante é o gerenciamento de identidade.
“A identidade é um grande desafio para muitas organizações. Vimos um grande aumento nos anúncios de credenciais roubadas, e as credenciais roubadas são aproveitadas de forma bastante ampla nos incidentes aos quais respondemos todos os dias”, diz ele. Neste caso, ser capaz de aproveitar credenciais roubadas foi fundamental para que o Volt Typhoon permanecesse no radar por tantos meses.
Etheridge também enfatiza a importância da caça a ameaças e da resposta a incidentes. Os atores de ameaças do Estado-nação são notoriamente impossíveis de parar completamente, mas as organizações estarão mais bem preparadas para mitigar as piores consequências possíveis, diz ele, se forem capazes de “entender quando algo está acontecendo em seu ambiente e serem capazes de tomar medidas corretivas rapidamente”.
FONTE: DARK READING