0
0
Um novo grupo de ameaças incomumente obstinado, apelidado de “Libra Confusa” por pesquisadores de ameaças, está mirando grandes empresas de terceirização com ataques persistentes e de várias camadas que começam com smishing e terminam com roubo de dados. O grupo também está usando a infraestrutura que compromete em ataques a jusante contra clientes das vítimas.
O grupo de ameaças foi atribuído a mais de meia dúzia de incidentes inter-relacionados de meados de 2022 e início de 2023, e faz uso do kit de phishing Oktapus relatado anteriormente como entrada inicial em seus ataques, disseram pesquisadores da Unidade 42 da Palo Alto Networks em um relatório divulgado hoje.
A partir daí, o grupo – que tem “um conhecimento íntimo da tecnologia da informação corporativa” – mantém a persistência não destrutiva no sistema de uma organização-alvo até que ela atinja seus objetivos, que normalmente são a exfiltração de dados e o uso desses dados e o sistema comprometido para realizar novos ataques, os pesquisadores da Unidade 42 Kristopher Russo, Austin Dever e Amer Elsad, dito.
“A Confusa Libra mostrou uma propensão para atingir os clientes a jusante de uma vítima usando dados roubados e, se permitido, eles retornarão repetidamente ao poço para atualizar seu conjunto de dados roubados”, escreveram. “Usando esses dados roubados, o agente da ameaça tem a capacidade de retornar às vítimas anteriores mesmo após a resposta inicial ao incidente.”
Na verdade, o grupo não apenas capitaliza o acesso oportunista aos alvos, mas tem objetivos claros para violações, buscando e roubando informações sobre os clientes de uma organização que podem ser usadas para pivotar nesses ambientes, disseram os pesquisadores.
Libra confusa: uma ameaça cibernética direcionada e tenaz
Os pesquisadores observaram o grupo visando grandes empresas de terceirização que atendem instituições e indivíduos de criptomoedas de alto valor, mas acrescentaram que a Libra Confusa também representa uma ameaça substancial para as organizações nos setores de automação de software, terceirização de processos de negócios, telecomunicações e tecnologia.
Embora não esteja trazendo “nada de novo para a mesa” em termos de malware ou táticas, o grupo é particularmente perigoso por algumas razões-chave, disseram os pesquisadores. Os atores de ameaças são metódicos e flexíveis em sua técnica de ataque, capazes de girar para outro vetor ou até mesmo modificar um ambiente para permitir seu caminho de ataque favorito.
A Libra Confusa também mostra proficiência em uma variedade de disciplinas de segurança e pode prosperar e executar cadeias de ataque “devastadoras” rapidamente, mesmo em ambientes que as organizações têm protegido adequadamente pela maioria dos padrões, observaram os pesquisadores.
Além disso, o grupo é extraordinariamente tenaz mesmo após a descoberta, demonstrando repetidamente “uma forte compreensão da estrutura moderna de resposta a incidentes (IR)”, que lhes permite continuar mesmo quando enfrentam tentativa de expulsão da rede, escreveram os pesquisadores. “Uma vez estabelecido, esse grupo de ameaças é difícil de erradicar”, disseram.
Oktapus Phishing, um vetor típico de ataque cibernético
Os ataques do grupo geralmente começam com o reconhecimento para criar perfis de alvos, seguido pelo desenvolvimento de recursos — como a configuração de domínios de phishing semelhantes e a implantação do kit de phishing Oktapus.
Esses recursos acabam levando a um ataque smishing que envia uma mensagem de isca diretamente para os telefones celulares dos funcionários visados. A mensagem afirma a necessidade de atualizar as informações da conta ou autenticar novamente em um aplicativo corporativo e inclui um link que emula uma página de logon corporativa familiar.
Um dos atacantes então emprega engenharia social em conversa com o funcionário para obter acesso à rede, capturando credenciais a serem usadas para acesso inicial e navegando na autenticação multifator (MFA), seja pedindo um código ou gerando uma sequência interminável de prompts de MFA até que o usuário aceite um por fadiga ou frustração, numa táctica conhecida como bombardeamento do MFA.
Depois de estabelecer um ponto de apoio de rede, a Muddled Libra se move rapidamente para elevar o acesso usando ferramentas padrão de roubo de credenciais, como Mimikatz, ProcDump, DCSync, Raccoon Stealer e LAPSToolkit. Se o grupo não conseguir localizar rapidamente credenciais elevadas, recorrerá ao Impacket, ao MIT Kerberos Ticket Manager e ao NTLM Encoder/Decoder, disseram os pesquisadores.
A Confudled Libra também implanta pelo menos meia dúzia de versões gratuitas ou demo de ferramentas de monitoramento e gerenciamento remoto (RMM) – que são legitimamente usadas dentro das organizações e, portanto, não levantarão suspeitas – uma vez que obtém acesso a um ambiente. Isso garante que, mesmo que suas atividades sejam descobertas, eles possam manter uma porta dos fundos para o ambiente, disseram os pesquisadores.
O grupo também se envolve em uma série de manobras evasivas, incluindo desabilitar antivírus e firewalls baseados em host; tentativa de excluir perfis de firewall; criação de exclusões de defensores; e desativar ou desinstalar o EDR e outros produtos de monitoramento para garantir a persistência na rede.
Finalmente, a Libra Confusa eventualmente passa a acessar e exfiltrar dados, o que parece ser seu objetivo principal, já que os pesquisadores raramente viram o grupo se envolver na execução remota de código, disseram eles. Para exfiltrar dados, o grupo tentou estabelecer shells de proxy reverso ou túneis de shell seguro (SSH) para comando e controle (C2), ou usou sites comuns de transferência de arquivos ou o agente de transferência de arquivos Cyberduck, disseram eles. Em alguns casos, o grupo usa a infraestrutura comprometida como um ativo organizacional confiável para se envolver em ataques subsequentes a clientes downstream, disseram os pesquisadores.
Mitigação e proteção contra roubo sofisticado de dados
Para se defender contra um ator de ameaças tão sofisticado, as organizações “devem combinar tecnologia de ponta e higiene de segurança abrangente, bem como monitoramento diligente de ameaças externas e eventos internos”, aconselharam os pesquisadores.
Os pesquisadores da Unidade 42 fizeram uma série de recomendações para esse fim, incluindo a implementação de MFA e logon único (SSO) sempre que possível, observando que a Muddled Libra tem seu maior sucesso quando precisa convencer os funcionários a ajudar o grupo a contornar a MFA. “Quando não conseguiam, pareciam passar para outros alvos”, observaram.
As organizações também devem implementar treinamento abrangente de conscientização do usuário, já que o grupo é altamente qualificado em engenharia social, tanto de help desk quanto de outros funcionários por telefone e SMS. O treinamento pode ajudar os funcionários a identificar contatos suspeitos não baseados em e-mail e, assim, mitigar ataques, disseram os pesquisadores.
A higiene das credenciais também deve ser mantida atualizada e as organizações devem conceder acesso aos funcionários apenas quando e pelo tempo necessário, disseram os pesquisadores. Os defensores também devem limitar a conexão de serviços de anonimização à rede, o que idealmente só deve ser permitido no nível de firewall por App-ID, disseram eles.
Além disso, as organizações devem manter uma segurança robusta de rede e endpoint, aconselharam os pesquisadores. Este último deve ser uma solução de detecção e resposta estendida (XDR) que pode identificar código malicioso por meio do uso de aprendizado de máquina avançado e análise comportamental, bloqueando ameaças em tempo real à medida que são identificadas, disseram.
Finalmente, no caso de uma organização ser violada, os administradores devem assumir que o invasor “conhece o manual de IR moderno” e considerar a criação de mecanismos de resposta fora de banda, disseram eles.
FONTE: DARK READING