0
0
O grupo hacktivista DragonForce Malaysia lançou um exploit que permite que o escalonamento de privilégios locais (LPE) do Windows Server conceda acesso aos recursos do roteador de distribuição local (LDR). Também anunciou que está adicionando ataques de ransomware ao seu arsenal.
O grupo postou uma prova de conceito (PoC) da exploração em seu canal Telegram em 23 de junho, que foi posteriormente analisada pela CloudSEK esta semana. Embora não haja CVE conhecido para o bug, o grupo afirma que o exploit pode ser usado para ignorar a autenticação “remotamente em um segundo” para acessar a camada LDR, que é usada para interconectar redes locais em vários locais de uma organização.
O grupo diz que estaria usando a exploração em campanhas direcionadas a empresas que operam na Índia, que se enquadra diretamente em sua casa do leme. Durante os últimos três meses, a DragonForce Malaysia lançou várias campanhas direcionadas a inúmeras agências e organizações governamentais no Oriente Médio e na Ásia.
“A DragonForce Malaysia está aumentando um ano que será lembrado por muito tempo por agitação geopolítica”, diz Daniel Smith, chefe de pesquisa da divisão de inteligência contra ameaças cibernéticas da Radware. “Em combinação com outros hacktivistas, o grupo de ameaças preencheu com sucesso o vazio deixado pelo Anonymous, permanecendo independente durante o ressurgimento de hacktivistas relacionados à guerra russo/ucraniana.”
O mais recente, apelidado de “OpsPatuk” e lançado em junho, já viu várias agências e organizações governamentais em todo o país alvo de vazamentos de dados e ataques de negação de serviço, com o número de desfigurações superando 100 sites.
“Espera-se que a DragonForce Malaysia continue definindo e lançando novas campanhas reacionárias com base em suas afiliações sociais, políticas e religiosas no futuro previsível”, diz Smith. “As recentes operações da DragonForce Malaysia … devem lembrar às organizações em todo o mundo que elas devem permanecer vigilantes durante esses tempos e cientes de que as ameaças existem fora do atual conflito cibernético na Europa Oriental.”
Por que o LPE deveria estar no Radar de Patch
Embora não sejam tão chamativos quanto a execução remota de código (RCE), os exploits LPE fornecem um caminho de um usuário normal para o SYSTEM, essencialmente o nível de privilégios mais alto no ambiente Windows. Se exploradas, as vulnerabilidades do LPE não apenas permitem que um invasor entre na porta, mas também fornecem privilégios de administrador local e acesso aos dados mais confidenciais da rede.
Com esse nível aumentado de acesso, os atacantes podem fazer modificações no sistema, recuperar credenciais de serviços armazenados ou recuperar credenciais de outros usuários que estão usando ou se autenticaram nesse sistema. Recuperar as credenciais de outros usuários pode permitir que um invasor se faça passar por esses usuários, fornecendo caminhos para o movimento lateral em uma rede.
Com privilégios escalonados, um invasor também pode executar tarefas administrativas, executar malware, roubar dados, executar um backdoor para obter acesso persistente e muito mais.
Darshit Ashara, principal pesquisador de ameaças da CloudSEK, oferece um exemplo de cenário de ataque.
“O invasor da equipe pode facilmente explorar qualquer vulnerabilidade simples baseada em aplicativos da Web para ganhar uma posição inicial e colocar um backdoor baseado na Web”, diz Ashara. “Geralmente, a máquina na qual o servidor Web está hospedado terá privilégio de usuário. É aí que a exploração LPE permitirá que o ator de ameaças ganhe privilégios mais altos e comprometa não apenas um único site, mas outros sites hospedados no servidor.”
As explorações LPE geralmente permanecem sem correção
Tim McGuffin, diretor de engenharia adversa da LARES Consulting, uma empresa de consultoria em segurança da informação, explica que a maioria das organizações espera para corrigir explorações LPE porque normalmente exigem acesso inicial à rede ou endpoint em primeiro lugar.
“Muito esforço é colocado na prevenção inicial do acesso, mas quanto mais você avança para a cadeia de ataque, menor esforço é colocado em táticas como escalada de privilégios, movimento lateral e persistência”, diz ele. “Esses patches geralmente são priorizados e corrigidos trimestralmente e não usam um processo de ‘patch agora’ de emergência.”
Nicole Hoffman, analista sênior de inteligência contra ameaças cibernéticas da Digital Shadows, observa que a importância de cada vulnerabilidade é diferente, seja LPE ou RCE.
“Nem todas as vulnerabilidades podem ser exploradas, o que significa que nem todas as vulnerabilidades exigem atenção imediata. É uma base caso a caso”, diz ela. “Várias vulnerabilidades do LPE têm outras dependências, como a necessidade de um nome de usuário e senha para realizar o ataque. Isso não é impossível de obter, mas requer um nível mais alto de sofisticação.”
Muitas organizações também criam contas de administrador locais para usuários individuais, para que possam realizar funções diárias de TI, como instalar seu próprio software em suas próprias máquinas, acrescenta Hoffman.
“Se muitos usuários têm privilégios de administrador local, é mais difícil detectar ações de administração local maliciosas em uma rede”, diz ela. “Seria fácil para um invasor se misturar com operações normais devido a práticas de segurança precárias que são amplamente utilizadas.”
Sempre que uma exploração é lançada na natureza, ela explica, não demora muito para que cibercriminosos com diferentes níveis de sofisticação aproveitem e realizem ataques oportunistas.
“Uma façanha tira um pouco desse trabalho braçal”, observa ela. “É realisticamente possível que a varredura em massa já esteja ocorrendo para essa vulnerabilidade.”
Hoffman acrescenta que o escalonamento de privilégios verticais requer mais sofisticação e geralmente está mais alinhado com as metodologias avançadas de ameaças persistentes (APT).
DragonForce planeja mudar para Ransomware
Em um vídeo e através de canais de mídia social, o grupo hacktivista também anunciou seus planos de começar a realizar ataques de ransomware em massa. Os pesquisadores dizem que isso pode ser um complemento às suas atividades hacktivistas, em vez de uma partida.
“A DragonForce mencionou a realização de ataques de ransomware generalizados, aproveitando a exploração que eles criaram”, explica Hoffman. “O ataque de ransomware WannaCry foi um ótimo exemplo de como os ataques de ransomware generalizados, ao mesmo tempo, são desafiadores se o ganho financeiro for o objetivo final.”
Ela também aponta que não é incomum ver esses anúncios de grupos de ameaças cibercriminosas, pois chama a atenção para o grupo.
Do ponto de vista de McGuffin, no entanto, o anúncio público de uma mudança na tática é “uma curiosidade”, especialmente para um grupo hacktivista.
“Seus motivos podem estar mais em torno da destruição e negação de serviço e menos em torno de obter lucro como grupos típicos de ransomware, mas eles podem estar usando o financiamento para melhorar suas capacidades hacktivistas ou consciência de sua causa”, diz ele.
Ashara concorda que a mudança planejada da DragonForce vale a pena destacar, já que o motivo do grupo é causar o máximo de impacto possível, impulsionar sua ideologia e espalhar sua mensagem.
“Portanto, a motivação do grupo com o anúncio de ransomware não é por causa financeira, mas para causar danos”, diz ele. “Vimos malwares de limpador semelhantes no passado, onde eles usariam ransomware e fingiriam que a motivação é financeira, mas a motivação raiz é o dano.”
FONTE: DARK READING