spying-3346160_1280.jpg

Campanha de spyware mira 11 mil sistemas vulneráveis

Campanha já comprometeu pelo menos nove organizações no mundo nos setores de defesa, educação, energia, saúde e tecnologia, segundo equipe da Unit 42
Da Redação
11/11/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Uma campanha ativa de espionagem cibernética que já comprometeu ao menos nove organizações no mundo nos setores de defesa, educação, energia, saúde e tecnologia foi descoberta pela equipe de inteligência em ameaças da Unit 42, da Palo Alto Networks. Segundo os pesquisadores, mais de 11 mil sistemas estão vulneráveis, sendo que as táticas e ferramentas são similares as do grupo chinês Emissary. 

“O objetivo da campanha parece ser de manter acesso de longo prazo para facilitar espionagem”, diz o relatório. Segundo a Palo Alto, o relatório é um “call to action” para as organizações identificarem rapidamente servidores rodando com software vulnerável e aplicar os patches o mais rápido possível. “As empresas podem também verificar os IoC [indicadores de comprometimento] no blog da Palo Alto para verificar se foram afetados.”

A Unit 42 descobriu que a campanha de espionagem cibernética que já comprometeu pelo menos 9 organizações globais nos setores de defesa, educação, energia, saúde e tecnologia. De acordo com os pesquisadores, ao menos 370 organizações dos EUA foram incluídas em uma varredura bastante ampla para identificar servidores Zoho vulneráveis. Além disso, a telemetria mostra conexões entre servidores maliciosos e organizações dos EUA, incluindo agências do Departamento de Defesa, contratos de defesa, instituições educacionais e organizações de saúde.

De acordo com varreduras com a plataforma Cortex Xpanse da Palo Alto Networks, existem mais de 11 mil sistemas expostos à internet em todo o mundo executando o software Zoho afetado — as varreduras não indicaram qual porcentagem desses sistemas já foram corrigidos.

Segundo a empresa, o ataque é difícil de detectar e explora vulnerabilidades conhecidas no ManageEngine ADSelfService Plus da Zoho (uma ferramenta de gerenciamento de identidade e acesso) que foram corrigidas pela Zoho em 6 de setembro. Esses ataques começaram em 17 de setembro, um dia depois de a Agência de Cibersegurança de Infraestrutura (CISA) dos EUA ter emitido um alerta sobre outra campanha explorando essas mesmas vulnerabilidades.

Segundo a CISA, em 17 de setembro, o operador da ameaça alavancou a infraestrutura nos Estados Unidos para sondar centenas de organizações vulneráveis através da internet. Posteriormente, as tentativas de exploração começaram em 22 de setembro e provavelmente continuaram no início de outubro. Durante essa janela, ele comprometeu com sucesso ao menos nove entidades globais nos setores de tecnologia, defesa, saúde, energia e educação.

Veja isso
Investigação revela que 25 países usam spyware para espionar seus cidadãos
Hackers roubam logs de antivírus para saber se spyware foi detectado

Após a exploração inicial, uma payload foi carregada na rede de vítimas que instalou um webshell Godzilla. Essa atividade foi consistente em todas as vítimas; entretanto, foi observado também um subconjunto menor de organizações comprometidas que posteriormente receberam uma versão modificada de um novo backdoor chamado NGLite. Os atores da ameaça usaram então o webshell ou payload do NGLite para executar comandos e mover-se lateralmente (internamente) para outros sistemas na rede, enquanto eles extraíam arquivos de interesse simplesmente baixando-os do servidor web. Uma vez que os atores se deslocaram para um controlador de domínio, instalaram uma nova ferramenta de roubo de credenciais que a Unit 42 rastreou como KdcSponge.

Valores de webshell padrão do Godzilla

Tanto o Godzilla quanto o NGLite foram desenvolvidos com instruções chinesas e estão disponíveis ao público para download no GitHub. Acreditamos que os hackers implantaram estas ferramentas em combinação como uma forma de redundância para manter o acesso a redes de alto interesse. O Godzilla é um webshell rico em funcionalidades que analisa as solicitações de entrada HTTP POST, descriptografa os dados com uma chave secreta, executa o conteúdo descriptografado para realizar funcionalidades adicionais e retorna o resultado através de uma resposta HTTP. Isto permite que os atacantes mantenham o código provavelmente marcado como malicioso fora do sistema alvo até que eles estejam prontos para executá-lo dinamicamente.

NGLite é caracterizado por seu autor como um “programa de controle remoto anônimo de plataforma cruzada baseado na tecnologia blockchain”. Ele aproveita a infraestrutura New Kind of Network (NKN) para suas comunicações de comando e controle (C&C), o que teoricamente resulta em anonimato para seus usuários. É importante observar que a NKN é um serviço de rede legítimo que utiliza a tecnologia de blockchain para suportar uma rede descentralizada de peers. O uso da NKN como um canal C&C é muito incomum. Foram vistas apenas 13 amostras se comunicando com a NKN ao todo – nove amostras NGLite e quatro relacionadas a um utilitário legítimo de código aberto chamado Surge que usa a NKN para compartilhamento de arquivos.

Por fim, a KdcSponge é uma nova ferramenta de roubo de credenciais que é utilizada contra controladores de domínio para roubar credenciais. A KdcSponge se injeta no processo LSASS (Local Security Authority Subsystem Service) e irá pegar funções específicas para reunir nomes de usuário e senhas de contas que tentam autenticar o domínio via Kerberos. O código malicioso escreve credenciais roubadas em um arquivo, mas depende de outras capacidades de exfiltração.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

ATENÇÃO: INCLUA [email protected] NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)