0
0
Um agente de ameaças anteriormente desconhecido que usa exclusivamente uma série de ferramentas disponíveis ao público e que vivem fora da terra tem como alvo empresas de navegação e laboratórios médicos da Ásia em uma operação de coleta de informações desde outubro, descobriram pesquisadores.
Apelidado de Hydrochasma por pesquisadores da Symantec, propriedade da Broadcom Software, o grupo ainda não parece ter roubado nenhum dado, mas parece ter como alvo setores envolvidos em tratamentos ou vacinas relacionados ao COVID-19 para ciberespionagem, disse o Threat Hunter da Symantec. Team escreveu em um post de blog publicado esta semana.
“Embora os pesquisadores da Symantec não tenham observado dados sendo exfiltrados das máquinas vítimas, algumas das ferramentas implantadas pelo Hydrochasma permitem acesso remoto e podem ser usadas para exfiltrar dados”, escreveram os pesquisadores.
A julgar por suas ferramentas e táticas, o principal motivo do grupo parece ser obter acesso persistente às máquinas das vítimas sem ser detectado, “bem como um esforço para aumentar os privilégios e se espalhar lateralmente pelas redes das vítimas”, observaram.
De fato, a falta de malware personalizado se presta a esse motivo, disse Brigid O Gorman, analista sênior de inteligência da equipe Symantec Threat Hunter, ao Dark Reading.
“A confiança do grupo em viver fora da terra e em ferramentas publicamente disponíveis é notável”, diz ela. “Isso pode nos dizer várias coisas sobre o grupo, incluindo o desejo de permanecer fora do radar e tornar a atribuição de sua atividade mais difícil”.
Como o hidrochasma ataca
Os pesquisadores primeiro foram alertados sobre a atividade na rede da vítima quando notaram a presença do SoftEther VPN, um software VPN gratuito, de código aberto e multiplataforma, frequentemente usado por invasores.
Como muitos outros grupos de ameaças, o Hydrochasma parecia usar o phishing como meio de acesso inicial a uma rede direcionada. De fato, o phishing continua sendo uma das maneiras mais bem-sucedidas de os invasores comprometerem as redes e continua a crescer e evoluir rapidamente.
Nesse caso, o primeiro sinal de atividade suspeita que os pesquisadores encontraram nas máquinas das vítimas foi um documento falso com um nome de arquivo no idioma nativo da organização que parecia ser um anexo de e-mail de uma “especificação de produto” de uma empresa de frete, disseram eles. Os pesquisadores também encontraram uma isca que imitava o currículo de um “engenheiro de desenvolvimento”.
Depois que o Hydrochasma obtém acesso a uma máquina, os invasores lançam um Fast Reverse Proxy, uma ferramenta que pode expor um servidor local protegido por uma conversão de endereço de rede (NAT) ou firewall para a Internet. Isso, por sua vez, descarta um arquivo de atualização legítimo do Microsoft Edge. Isso é seguido por outro arquivo que na verdade é uma ferramenta disponível publicamente chamada Meterpreter – que faz parte da estrutura Metasploit – que pode ser usada para acesso remoto, disseram os pesquisadores.
Tudo além da pia da cozinha
De fato, na campanha que os pesquisadores observaram, o grupo bombardeou a organização de vítimas com o que parecia ser tudo menos a pia da cozinha em uma enxurrada de ferramentas publicamente disponíveis destinadas a garantir sua presença e persistência na rede.
“É relativamente incomum ver um grupo de ataque usando apenas malware de código aberto em uma cadeia de ataque, então isso fez com que a atividade do Hydrochasma se destacasse para nós”, observa O Gorman.
Outras ferramentas usadas pelo Hydrochasma no ataque incluem: ferramenta de varredura Gogo, um mecanismo de varredura automatizado; Process Dumper, que permite aos invasores despejar senhas de domínio; Ferramenta de varredura AlliN, que pode ser utilizada para penetração lateral da intranet; e Fscan, uma ferramenta hacker disponível publicamente que pode escanear portas abertas e muito mais.
Os pesquisadores também observaram o Hydrochasma usando o Cobalt Strike Beacon, uma ferramenta legítima de teste de penetração que os invasores também adotaram amplamente para executar comandos; processos de injeção, elevação e personificação; e upload e download de arquivos em redes de vítimas. O grupo também implantou um carregador de shellcode e um executável portátil corrompido no ataque.
Seu ataque à rede de vítimas não parou por aí; ferramentas adicionais que os pesquisadores observaram sendo usadas no ataque incluíam: Procdump, para monitorar picos de CPU em um aplicativo e gerar despejos de memória; BrowserGhost, que pode pegar senhas de um navegador; a ferramenta de encapsulamento Gost proxy; Ntlmrelay para interceptar solicitações de autenticação validadas para acessar serviços de rede; e HackBrowserData, uma ferramenta de código aberto que pode descriptografar dados do navegador.
Evitando Compromisso
A Symantec incluiu indicadores de comprometimento de arquivo e rede em sua postagem no blog para ajudar as organizações a identificar se estão sendo alvo do Hydrochasma.
O uso extensivo de ferramentas de uso duplo e de vida fora da terra pelo grupo destaca a necessidade de as organizações terem uma solução de segurança abrangente para detectar comportamentos suspeitos em máquinas de rede, bem como parar malware, O Gorman diz: “Organizações deve adotar uma estratégia de defesa aprofundada, usando várias tecnologias de detecção, proteção e proteção para mitigar o risco em cada ponto de uma cadeia de ataque em potencial”, disse ela à Dark Reading. “As organizações também devem estar cientes e monitorar o uso de ferramentas de uso duplo dentro de sua rede.”
De maneira geral, a Symantec também aconselha a implementação de auditoria e controle adequados de uso de contas administrativas, bem como a criação de perfis de uso de ferramentas administrativas, “já que muitas dessas ferramentas são usadas por invasores para se moverem lateralmente sem serem detectados por uma rede”, O Gorman acrescenta.
FONTE: DARK READING