Servidores Microsoft Exchange comprometidos pelo Turla APT

Início » Cibersegurança » Servidores Microsoft Exchange comprometidos pelo Turla APT

Read Time:1 Minute, 41 Second

Turla APT

Turla (também conhecido como Secret Blizzard, Snake , UAC-0003) é um grupo APT sofisticado e persistente que está ativo há mais de 10 anos e acredita-se que seja patrocinado pelo estado russo.

O grupo está vinculado a muitos ataques cibernéticos direcionados a organizações governamentais e militares, bem como a campanhas de espionagem cibernética contra outras organizações que possuem informações que o governo russo pode considerar úteis.

O ataque

Esta última rodada de ataques divulgados começou com e-mails de contas de e-mail UKR.NET ( provavelmente comprometidas ), entregando documentos com macros maliciosas e acionando o download do malware backdoor DeliveryCheck (CAPIBAR, GAMEDAY).

O malware se conecta ao servidor C2 para recuperar seus “pedidos”, que podem incluir a exfiltração de arquivos por meio de ferramentas de código aberto, como o rclone e, em alguns casos, o download e a implantação de um backdoor adicional chamado Kazuar.

A Microsoft diz que o Kazuar é um “implante completo”. De acordo com o CERT-UA (Computer Emergency Response Team of Ukraine), o Kazuar pode implementar mais de 40 funções que permitem, entre outras coisas, coletar dados de logs do sistema operacional, roubar dados de autenticação (senhas, favoritos, preenchimento automático, histórico, proxies, cookies, etc.)

“O agente da ameaça visa especificamente exfiltrar arquivos contendo mensagens do popular aplicativo de mensagens Signal Desktop, o que permitiria ao agente ler conversas privadas do Signal, bem como documentos, imagens e arquivos compactados nos sistemas de destino”, observou a Microsoft.

Turla usa servidores Microsoft Exchange comprometidos

Turla também usou o Desired State Configuration (DSC) – um recurso do PowerShell que permite aos administradores automatizar a configuração do Linux e do Windows – para instalar componentes do lado do servidor do malware DeliveryCheck nos servidores Microsoft Exchange.

“O DSC gera um arquivo de formato de objeto gerenciado ( MOF ) contendo um script do PowerShell que carrega a carga .NET incorporada na memória, transformando efetivamente um servidor legítimo em um centro C2 de malware”, explicou a Microsoft.

FONTE: HELP NET SECURITY

POSTS RELACIONADOS

10 perguntas instigantes para contemplar a segurança de dados de IA generativa

Por Richard Davis Na era da inteligência artificial generativa, a segurança de dados é uma preocupação fundamental para as organizações

Ler mais

26/07/2024

Construindo uma arquitetura robusta de defesa em profundidade para a transformação digital

Por Irfan Shakeel Explorando a estratégia de segurança da arquitetura de defesa em profundidade para Sistemas de Controle Industrial (ICS)

Ler mais

24/07/2024

Proteção de dados corporativos: maximizando segurança e eficiência com a CipherTrust

Na era digital de hoje, a segurança de dados é fundamental para a resiliência e confiança das organizações. Proteger informações

Servidores Microsoft Exchange comprometidos pelo Turla APT

Turla APT

O ataque

Turla usa servidores Microsoft Exchange comprometidos

POSTS RELACIONADOS

10 perguntas instigantes para contemplar a segurança de dados de IA generativa

Construindo uma arquitetura robusta de defesa em profundidade para a transformação digital

Proteção de dados corporativos: maximizando segurança e eficiência com a CipherTrust

Categorias

Posts Recentes

10 perguntas instigantes para contemplar a segurança de dados de IA generativa

Construindo uma arquitetura robusta de defesa em profundidade para a transformação digital

Proteção de dados corporativos: maximizando segurança e eficiência com a CipherTrust

Como navegar pela segurança de dados na era GenAI

Criptografia e inteligência artificial: a nova fronteira da cibersegurança

Redefinindo a segurança: O poder da autenticação sem senha

Feito por VP DIGITAL