0
0
Vários grupos de ameaças persistentes avançadas (APT) obtiveram acesso à rede de uma organização de defesa sediada nos EUA em janeiro de 2021, comprometendo amplamente os computadores, a rede e os dados da empresa por quase um ano, afirmaram três agências governamentais em um comunicado conjunto em 1º de outubro.
Os invasores tiveram acesso ao Microsoft Exchange Server da organização e usaram uma conta de administrador comprometida para coletar informações e mover-se lateralmente no ambiente de TI já em meados de janeiro de 2021, de acordo com o comunicado emitido pela Cybersecurity and Infrastructure Security Agency (CISA). a Agência de Segurança Nacional (NSA) e o Federal Bureau of Investigation (FBI).
Os invasores obtiveram acesso a mensagens de e-mail e informações de contrato de defesa, coletaram credenciais para elevar os privilégios do usuário e implantaram uma ferramenta de exfiltração personalizada, CovalentStealer, para mover os dados para um servidor externo.
A maioria das técnicas usava software já no sistema ou ferramentas de código aberto amplamente disponíveis, disse Katie Nickels, diretora de inteligência da Red Canary, uma empresa de detecção e resposta gerenciada (MDR), em comunicado enviado à Dark Reading.
“Enquanto muitas pessoas pensam que os atores patrocinados pelo Estado sempre usam técnicas avançadas, este relatório demonstra que muitas das ferramentas e técnicas que esses atores usam são conhecidas pelos defensores e podem ser detectadas”, afirmou.
Por exemplo, uma nova vulnerabilidade do Exchange poderia ter sido usada para acesso inicial, mas há muitas vulnerabilidades do Exchange que permanecem sem correção nas redes corporativas, disse Nickels.
“O comunicado observa que os atores exploraram várias vulnerabilidades conhecidas a partir de 2021 para instalar webshells no servidor Exchange posteriormente na invasão”, disse ela. “Houve várias vulnerabilidades do Exchange ao longo de vários anos e, devido aos desafios de corrigir servidores locais do Exchange, muitas dessas vulnerabilidades permanecem sem correção e dão aos adversários a oportunidade de comprometer uma rede.”
Impacket: um vetor comum de código aberto
Os grupos APT usaram duas ferramentas para ajudar a comprometer os sistemas do contratante de defesa: a ferramenta de manipulação de tráfego de rede de código aberto acima mencionada, Impacket, escrita em Python; e uma ferramenta personalizada de extração de dados, CovalentStealer, que identifica compartilhamentos de arquivos acessíveis, categoriza seu conteúdo e carrega os dados em um servidor remoto.
“Os atores cibernéticos da APT usaram credenciais existentes e comprometidas com o Impacket para acessar uma conta de serviço com privilégios mais altos usada pelos dispositivos multifuncionais da organização”, afirmou o comunicado.
Quanto ao CovalentStealer, ele inclui duas configurações que visam especificamente os documentos da vítima usando caminhos de arquivo predeterminados e credenciais de usuário. Em seguida, ele criptografa os dados coletados e carrega os arquivos em uma pasta no serviço de armazenamento em nuvem do Microsoft OneDrive, uma ação que pode ser configurada para ocorrer apenas em determinados momentos e limitada a determinados tipos de dados.
O uso dessa ferramenta personalizada pode dificultar a detecção e a mitigação, mas a maioria das ações tomadas pelos grupos de ameaças usa ferramentas e técnicas conhecidas, afirmou a Red Canary’s Nickels.
“A Impacket está regularmente na lista das 10 maiores ameaças observadas em ambientes de clientes da Red Canary – em setembro, foi a quarta ameaça mais prevalente que observamos”, disse ela.
O Impacket pode ser detectado se as empresas tiverem visibilidade dos processos executados no endpoint e do tráfego na rede, embora um terço das detecções tenha sido de atividades de teste legítimas, disse ela.
Convergência de Técnicas Financeiras Patrocinadas pelo Estado
O aviso de um ataque extensivo ocorre quando os empreiteiros de defesa permanecem na mira . Violações de dados e incidentes de ransomware cresceram como uma preocupação para todas as organizações. E embora o malware personalizado possa dificultar a detecção de operações de espionagem cibernética, as violações de dados muito mais comuns, como as enfrentadas pela Uber e pelo Distrito Escolar Unificado de Los Angeles , usam ferramentas e vulnerabilidades conhecidas, de acordo com Mike Wiacek, CEO e fundador da Stairwell, uma plataforma de inteligência de segurança cibernética.
“Para organizações comerciais, é importante lembrar que um ator não precisa ser uma ‘ameaça persistente avançada’ para procurar compartilhamentos de rede aberta que contenham dados confidenciais”, disse ele em uma análise compartilhada com a Dark Reading. “A higiene de segurança é vital para garantir que dados confidenciais não fiquem em compartilhamentos de rede abertos, onde um único conjunto comprometido de credenciais VPN pode levar à perda de propriedade intelectual valiosa.”
A assessoria federal fez recomendações específicas às organizações da Base Industrial de Defesa (DIB) para evitar comprometimentos e minimizar os danos causados por grupos de APT bem-sucedidos. A CISA recomenda que as organizações monitorem os arquivos de log em busca de sinais de comunicações suspeitas, especialmente aquelas que usam serviços incomuns de servidor virtual privado (VPS) ou rede privada virtual (VPN). Segmentar redes, monitorar sistemas para comportamento anômalo e restringir o uso de ferramentas de acesso remoto estão entre as práticas recomendadas pelas agências americanas.
FONTE: DARK READING