0
0
Vários grupos de hackers patrocinados por governos tiveram acesso de ‘longo prazo’ a uma empresa de defesa dos EUA, afirma relatório da CISA
Paulo Brito
Vários grupos de hackers patrocinados por estados (APT ou advanced persistent threats na sigla em inglês) invadiram e permaneceram por um longo período na rede de uma empresa da base industrial de defesa dos Estados Unidos. O alerta foi feito hoje num longo e detalhado relatório pela CISA, a Agência de Cibersegurança e de Segurança da Infraestrutura, órgão do Departamento de Segurança Interna.
A agência relatou que de novembro de 2021 a janeiro de 2022 trabalhou numa operação de resposta a incidentes na rede corporativa da empresa, que também havia contratado “uma organização terceirizada de resposta a incidentes” para obter assistência: “Durante as atividades de resposta a incidentes, a CISA e o terceiro confiável identificaram a atividade do APT na rede da vítima”.
O relatório detalha que “alguns atores do APT obtiveram acesso inicial ao Microsoft Exchange Server da organização em meados de janeiro de 2021. O vetor de acesso inicial é desconhecido. Com base na análise de log, os atores coletaram informações sobre o ambiente de troca e realizaram pesquisas de caixa de correio em um período de quatro horas após obterem acesso. No mesmo período, esses atores usaram uma conta de administrador comprometida (“Admin 1”) para acessar a Interface de programação de aplicativos (API) do EWS. No início de fevereiro de 2021, os atores retornaram à rede e usaram o Admin 1 para acessar novamente a API do EWS. Em ambos os casos, os atores usaram uma rede privada virtual (VPN)”.
Quatro dias depois, os atores do APT usaram o Windows Command Shell por um período de três dias para interagir com a rede da vítima. Os atores usaram o Command Shell para aprender sobre o ambiente da organização e coletar dados confidenciais, incluindo informações confidenciais relacionadas a contratos de unidades compartilhadas, para eventual exfiltração. Os atores coletaram arquivos manualmente usando a ferramenta de linha de comando, WinRAR. Esses arquivos foram divididos em pedaços de aproximadamente 3 MB localizados no servidor Microsoft Exchange dentro do diretório CU2\he\debug.
Durante o mesmo período, os atores do APT implantaram o Impacket, um kit de ferramentas Python para construção e manipulação de protocolos de rede programaticamente em outro sistema. Os atores usaram o Impacket para tentar se mover lateralmente.
No início de março de 2021, os atores do APT exploraram as vulnerabilidades CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065 para instalar 17 webshells do China Chopper no Exchange Server. No final de março, instalaram o HyperBro no Exchange Server e em dois outros sistemas.
Em abril de 2021, eles usaram o Impacket para atividades de exploração de rede. Do final de julho até meados de outubro de 2021, os atores do APT empregaram uma ferramenta de exfiltração personalizada, CovalentStealer, para exfiltrar os arquivos confidenciais restantes.
Os atores do APT mantiveram o acesso até meados de janeiro de 2022, provavelmente confiando em credenciais legítimas.
O relatório completo com os TTPs está em “https://www.cisa.gov/uscert/ncas/alerts/aa22-277a”
FONTE: CISO ADVISOR