A CISA, agência de segurança cibernética e infraestrutura do governo dos EUA, publicou ontem um detalhado relatório descrevendo a invasão da rede de uma agência federal civil não-identificada, num incidente em que os invasores implantaram malware de múltiplos estágios, conseguindo assim ocultar-se das ferramentas de proteção que operavam na rede.
A CISA tomou conhecimento da invasão por meio do Einstein, seu sistema de detecção de intrusões, que monitora redes civis federais. Foi feita a seguir uma investigação em conjunto com a agência atingida, confirmando a atividade maliciosa.
O ator da ciberameaça tinha credenciais de acesso válidas para contas de vários usuários do Microsoft Office 365 e contas de administrador de domínio, utilizadas para acesso inicial à rede da agência. Primeiro, o ator da ameaça se conectou à conta do O365 de um usuário, navegou nas páginas de um site do SharePoint e baixou um arquivo. Ele também se conectou várias vezes no servidor de VPN.
Veja isso
CISA entra no ‘Have I Been Pwned’ para proteger credenciais
Grupo APT já teria realizado 26 ataques de espionagem corporativa
Os analistas da CISA não conseguiram determinar de que forma as credenciais do Office foram obtidas. É possível que o invasor as tenha obtido de um servidor de VPN vulnerável da agência, explorando uma vulnerabilidade conhecida (CVE-2019-11510) na VPN Pulse Secure. Em abril de 2019, a Pulse lançou patches para várias vulnerabilidades críticas, incluindo essa, que permite a recuperação remota e não autenticada de arquivos, incluindo senhas. A CISA observou ampla exploração de CVE-2019-11510 em todo o governo federal americano.
O invasor conseguiu criar uma conta local que usou para Coleta de dados, Exfiltração, Persistência e Comando e Controle. Ele conseguiu, segundo a CISA:
- Navegar pelos diretórios em um servidor de arquivos
- Copiar um arquivo do diretório inicial de um usuário para o compartilhamento remoto montado localmente
- Interagir com outros arquivos nos diretórios pessoais dos usuários (não se confirmou se eles foram exfiltrados)
- Criar um proxy SMB SOCKS reverso que permite a conexão entre um VPS controlado por um ator de ameaça cibernética e o servidor de arquivos da organização
- Interagir com o módulo Invoke-TmpDavFS.psm do PowerShell
- Exfiltrar dados de um diretório de conta e diretório de servidor de arquivo usando tsclient (cliente do Microsoft Windows Terminal Services)
- Criar dois arquivos Zip compactados com vários arquivos e diretórios; é provável que o ator da ameaça cibernética tenha exfiltrado esses arquivos Zip, mas isso não pôde ser confirmado porque ele mascarou sua atividade.
Com agências internacionais
