0
0
O mercado de ferramentas pós-exploração marcou um recém-chegado com o surgimento do Exfiltrator-22. Uma alternativa iniciante ao Cobalt Strike, o conjunto de ferramentas Exfiltrator-22 framework-as-a-service (FaaS), visto pela primeira vez em dezembro, foi “provavelmente” desenvolvido por ex-afiliados da notória gangue de ransomware LockBit, segundo pesquisadores.
De acordo com um relatório da Cyfirma em 28 de fevereiro , o Ex-22 possui recursos avançados de pós-exploração que incluem shell reverso elevado, download e upload remoto de arquivos, captura de tela e monitoramento de sessão ao vivo de dispositivos infectados, recursos de elevação de privilégios e despejo de credenciais LSASS e persistência capacidades. Os compradores obtêm acesso a um painel de administração por meio de uma assinatura mensal de US$ 1.000. Os pesquisadores dizem que estão razoavelmente certos de que essa equipe está operando fora de países asiáticos e envolvida em uma construção ambiciosa de seu próprio programa de afiliados, juntamente com uma campanha de marketing “agressiva”.
Enquanto isso, amostras recentes de campanhas do LockBit 3.0 mostram que eles utilizam a mesma infraestrutura de comando e controle (C2) que o Exiltration-22.
Os criadores do Ex-22 afirmam que sua estrutura é “totalmente indetectável” por todos os fornecedores de antivírus e detecção e resposta de endpoint (EDR). Embora isso não seja totalmente verdade, “em 13 de fevereiro de 2023, o malware ainda tinha 5/70 detecções em sandboxes online, mesmo após a realização de várias varreduras dinâmicas”, explica o relatório. “Isso nos diz que os agentes de ameaças são hábeis em técnicas de anti-análise e evasão de defesa”.
A análise aponta para o que alguns especialistas em segurança veem como uma ligeira mudança nos ventos da atividade pós-exploração. Embora o Cobalt Strikecontinue sendo a ferramenta dominante de escolha para os bandidos, as ferramentas de segurança capazes de detectar atividades decorrentes dessa estrutura estão aumentando, e o mercado criminoso está girando para fornecer uma alternativa mais furtiva. O exemplo mais notável desse movimento no ano passado foi o aumento da adoção do Brute Ratel C4 para atividades maliciosas pós-exploração.
“Com melhorias e suporte contínuos, o Ex-22 se torna uma alternativa para qualquer invasor que planeja comprar ferramentas para a fase de pós-exploração, mas não deseja usar as ferramentas tradicionais devido às altas taxas de detecção”, explicou o relatório.
As opções pós-exploração proliferam
Curiosamente, o Ex-22 é, na verdade, a segunda estrutura de pós-exploração altamente evasiva e de alto perfil descoberta por pesquisadores de segurança este mês. No início de fevereiro, pesquisadores do Zscaler ThreatLabZ publicaram uma análise de uma campanha que observaram visando uma organização governamental usando uma estrutura C2 chamada Havoc.
“Embora as estruturas C2 sejam prolíficas, a estrutura Havoc de código aberto é uma estrutura avançada de comando e controle pós-exploração capaz de contornar a versão mais atual e atualizada do Windows 11 defender devido à implementação de técnicas avançadas de evasão, como syscalls indiretos e suspensão ofuscação”, escreveram os pesquisadores do Zscaler, Niraj Shivtarkar e Shatak Jain, em uma análise de 14 de fevereiro.
Enquanto isso, em janeiro, pesquisadores da Cybereason detalharam campanhas recentes utilizando a estrutura C2 Sliver para atividades pós-exploração. Isso segue o trabalho feito pela Microsoft e pelo Team Cymru acompanhando a ascensão do Sliver . Uma alternativa de código aberto, o Sliver também é multiplataforma, oferecendo suporte para ação no OS X, Linux e Windows.
FONTE: DARK READING