Security Forensics Pericia

Hacker que atacou a Cisco estava em ação desde abril

Da Redação
01/09/2022

A equipe de pesquisas da empresa de segurança eSentire, chamada de Threat Response Unit (TRU), descobriu que a infraestrutura de TI usada para atacar a Cisco em maio de 2022 também havia sido usada numa tentativa de comprometimento de um dos clientes da empresa em abril de 2022. Nesse incidente, a eSentire conseguiu impedir a implantação de ransomware no ambiente. O cliente, disse a empresa, é uma grande holding com subsidiárias especializadas em gerenciamento de força de trabalho – contratação de funcionários, recrutamento, recrutamento de pessoal e serviços relacionados à identificação e colocação. A TRU acredita que um hacker que usa o nick mx1r é o cibercriminoso por trás do ataque. A empresa de segurança Mandiant informou sobre esse ator recentemente, em associação com a UNC2165, mas não deu nome a ele.

A Mandiant, anteriormente atacada por hackers do grupo LockBit, informou que mx1r é membro de uma ‘subsidiária’ da Evil Corp chamada UNC2165. A Cisco atribuiu anteriormente o incidente ao grupo Yanluowang, associado ao Lapsus$. De acordo com o eSentire:

  • Os TTPs (Táticas, Técnicas e Procedimentos) são de fato consistentes com as táticas da Evil Corp;
  • A infraestrutura utilizada é a mesma do grupo Conti;
  • Foram implantadas cargas de ransomware do Hive, Yanluowang e várias instâncias adicionais de Cobalt Strike;
  • A eSentire batizou esse cluster de ameaças como “HiveStrike”, que também possui semelhanças com a estrutura do Conti e ShadowStrike. A eSentire supõe que o Conti está fornecendo sua infraestrutura para a Evil Corp.

Veja isso
Cisco confirma incidente de ransomware ocorrido em maio
Malware em currículos visa grandes corporações

Os cibercriminosos conseguiram invadir a rede de TI da corporação de gerenciamento de força de trabalho usando credenciais de Virtual Private Network (VPN) roubadas. A TRU os descobriu tentando se mover lateralmente pela rede, usando um arsenal de ferramentas de red team, normalmente usadas por pentesters. Neste caso, foram usadas ​​pelos agentes de ameaça para obter uma posição mais profunda no ambiente da vítima. As ferramentas usadas: Cobalt Strike, scanners de rede e rastreadores de domínio ativo. Usando o Cobalt Strike, os invasores conseguiram obter uma posição inicial e as ações seguintes foram imediatas e rápidas, desde o momento do acesso inicial até quando o invasor conseguiu registrar sua própria máquina virtual na rede VPN da vítima.

A TRU da eSentire também viu os agentes de ameaças continuarem tentando se mover lateralmente dentro da rede da corporação por meio do acesso com Remote Desktop Protocol (RDP).

O relatório detalhado da eSentire está em “https://www.esentire.com/security-advisories/hacker-infrastructure-used-in-cisco-breach-discovered-attacking-a-top-workforce-management-corporation-russias-evil-corp-gang-suspected-reports-esentire”

Compartilhar: