A equipe de pesquisas da empresa de segurança eSentire, chamada de Threat Response Unit (TRU), descobriu que a infraestrutura de TI usada para atacar a Cisco em maio de 2022 também havia sido usada numa tentativa de comprometimento de um dos clientes da empresa em abril de 2022. Nesse incidente, a eSentire conseguiu impedir a implantação de ransomware no ambiente. O cliente, disse a empresa, é uma grande holding com subsidiárias especializadas em gerenciamento de força de trabalho – contratação de funcionários, recrutamento, recrutamento de pessoal e serviços relacionados à identificação e colocação. A TRU acredita que um hacker que usa o nick mx1r é o cibercriminoso por trás do ataque. A empresa de segurança Mandiant informou sobre esse ator recentemente, em associação com a UNC2165, mas não deu nome a ele.
A Mandiant, anteriormente atacada por hackers do grupo LockBit, informou que mx1r é membro de uma ‘subsidiária’ da Evil Corp chamada UNC2165. A Cisco atribuiu anteriormente o incidente ao grupo Yanluowang, associado ao Lapsus$. De acordo com o eSentire:
- Os TTPs (Táticas, Técnicas e Procedimentos) são de fato consistentes com as táticas da Evil Corp;
- A infraestrutura utilizada é a mesma do grupo Conti;
- Foram implantadas cargas de ransomware do Hive, Yanluowang e várias instâncias adicionais de Cobalt Strike;
- A eSentire batizou esse cluster de ameaças como “HiveStrike”, que também possui semelhanças com a estrutura do Conti e ShadowStrike. A eSentire supõe que o Conti está fornecendo sua infraestrutura para a Evil Corp.
Veja isso
Cisco confirma incidente de ransomware ocorrido em maio
Malware em currículos visa grandes corporações
Os cibercriminosos conseguiram invadir a rede de TI da corporação de gerenciamento de força de trabalho usando credenciais de Virtual Private Network (VPN) roubadas. A TRU os descobriu tentando se mover lateralmente pela rede, usando um arsenal de ferramentas de red team, normalmente usadas por pentesters. Neste caso, foram usadas pelos agentes de ameaça para obter uma posição mais profunda no ambiente da vítima. As ferramentas usadas: Cobalt Strike, scanners de rede e rastreadores de domínio ativo. Usando o Cobalt Strike, os invasores conseguiram obter uma posição inicial e as ações seguintes foram imediatas e rápidas, desde o momento do acesso inicial até quando o invasor conseguiu registrar sua própria máquina virtual na rede VPN da vítima.
A TRU da eSentire também viu os agentes de ameaças continuarem tentando se mover lateralmente dentro da rede da corporação por meio do acesso com Remote Desktop Protocol (RDP).
O relatório detalhado da eSentire está em “https://www.esentire.com/security-advisories/hacker-infrastructure-used-in-cisco-breach-discovered-attacking-a-top-workforce-management-corporation-russias-evil-corp-gang-suspected-reports-esentire”