A Microsoft removeu 18 aplicações do Azure que tentavam obter o controle de várias infraestruturas críticas ao redor do mundo. A empresa descobriu que o grupo hacker Gadolinium, que tem ligações com o governo chinês e vem desferindo ataques há quase uma década, passou a usar o Active Directory, bem como ferramentas de código aberto, para ocultar seus ataques. Os hackers teriam conseguido obter dados de uma conta do OneDrive e executaram vários ataques a partir daí.
O Threat Intelligence Center da Microsoft explica que as 18 aplicações do Active Directory foram removidas depois de verificar que faziam parte de uma tentativa de ganhar o comando e controle (C2) de várias redes. Embora serviços como o Azure Active Directory (AD) tenham a autenticação de identidade baseada em nuvem e o serviço de gerenciamento de acesso, os cibercriminosos começaram a lançar mão desses serviços para aprimorar as suas cargas de malware.
Além da velocidade, flexibilidade e escalabilidade das soluções em cloud, um número crescente de cibercriminosos vem tirando proveito também das versões trial para desenvolver a atividade criminosa e fugir sem deixar rastro, além de usar contas com pagamento único para não deixar registro de cartões de crédito.
Ben Koehl e Joe Hannon, do Centro de Inteligência de Ameaças da Microsoft, escreveram no blog da empresa que “devido ao fato de os serviços de cloud oferecerem frequentemente um trial gratuito ou contas de pagamento único (PayGo), os hackers começaram a tirar partido dessas facilidades. Ao criarem contas gratuitas ou PayGo, eles passam a usar a nuvem para criar uma infraestrutura maliciosa que pode ser estabelecida rapidamente e depois desmontada antes da detecção”.
Veja isso
Azure passou 2019 com duas vulnerabilidades graves
Microsoft publica estratégia de dupla chave para o Office 365
Segundo os especialistas, os hackers usam a ferramenta PowerShell para carregar módulos maliciosos usando as interfaces de programação da Microsoft. O grupo usou contas do OneDrive para executar os comandos e para receber os resultados dos ataques perpetrados aos sistemas das vítimas. “O atacante usa uma aplicação Azure Active Directory para configurar um endpoint da vítima com as permissões necessárias para exfiltrar dados para o seu armazenamento no OneDrive”, detalham Koehl e Hannon.
Ataques evoluídos
O Gadolinium também é conhecido como APT40 (grupo de ameaças persistentes avançadas), que pesquisadores da FireEye avaliam como de “confiança moderada”. É um grupo de espionagem patrocinado pelo governo da China. Embora anteriormente tivesse como alvo as indústrias marítima e de saúde, a Microsoft descobriu recentemente uma nova segmentação do grupo que passou a incluir a região da Ásia-Pacífico e outros alvos, como instituições de ensino superior e órgãos governamentais regionais.
Em meados de abril foi detectado que os hackers do Gadolinium estavam enviando e-mails de spear-phishing com anexos maliciosos, com iscas relacionadas à pandemia da covid-19. Quando aberto, o arquivo PowerPoint anexado (20200423-sitrep-92-covid-19.ppt) inseria um arquivo, doc1.dotm, que então teria duas cargas úteis que rodam em sucessão. Isso inclui uma carga útil que desativa uma verificação do tipo (DisableActivitySurrogateSelectorTypeCheck), enquanto a segunda carrega um código binário .Net incorporado que baixa um arquivo de imagem .Png.