Software de monitoramento remoto agora é usado em ataques

Da Redação
30/01/2023

Pesquisadores de segurança cibernética e agências governamentais alertam que operadores de ameaças estão aumentando o uso de ferramentas legítimas de monitoramento e gerenciamento remoto em seus ataques para obter acesso remoto e controle sobre os sistemas. Essas ferramentas são comumente usadas por provedores de serviços gerenciados (MSPs) e centrais de suporte de TI, portanto, a presença na rede e nos sistemas de uma organização pode não levantar suspeitas.

Pesquisadores da Cisco Talos relataram nesta semana que uma ferramenta comercial específica chamada Syncro foi observada em um terço dos casos de resposta a incidentes, em que uma empresa esteve envolvida durante o quarto trimestre de 2022. No entanto, essa não foi a única ferramenta usada. Separadamente, em um comunicado conjunto nesta semana, a Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA, a Agência de Segurança Nacional (NSA) e o Centro de Análise e Compartilhamento de Informações Multiestatais (MS-ISAC) alertaram sobre o uso de ferramentas de monitoramento e gerenciamento remoto em um golpe de reembolso que visava os funcionários de várias agências federais.

“Esta campanha destaca a ameaça da atividade cibernética maliciosa associada a software de monitoramento e gerenciamento remoto legítimo: depois de obter acesso à rede de destino por meio de phishing ou outras técnicas, cibercriminosos  e grupos de ameaças persistentes avançadas (APTs) patrocinados por Estados-nação usam software de monitoramento e gerenciamento remoto legítimo como uma porta dos fundos para persistência ou para instalar um servidor de comando e controle [C&C]”, escreveram as agências no comunicado.

Entrega como executáveis portáteis independentes

Nos ataques que a CISA e seus parceiros descobriram, um grupo de invasores enviou e-mails de phishing com tema de suporte técnico para funcionários em seus endereços de e-mail pessoais e emitidos pelo governo. Esses e-mails geralmente os informavam sobre uma renovação de assinatura cobrada em sua conta e solicitavam aos destinatários que contatassem o departamento de suporte ao cliente se quisessem cancelá-la e serem reembolsados. O link do e-mail levava a um site que solicitava um download executável. Se executado, esse arquivo é conectado a um segundo domínio controlado pelos invasores e por download de ferramentas de monitoramento e gerenciamento remoto, como o ScreenConnect (agora ConnectWise Control) e AnyDesk, em formato executável portátil independente.

Esses executáveis portáteis não requerem instalação ou privilégios administrativos e são pré-configurados para se conectar a um servidor de monitoramento e gerenciamento remoto operado pelos invasores, o que lhes dá acesso remoto à máquina. Na campanha mencionada, operadores mal-intencionados instruíam as vítimas por meio do software de monitoramento e gerenciamento remoto a abrir sua conta bancária no navegador e, em seguida, usaram seu acesso para modificar o extrato bancário para mostrar que um reembolso maior do que o normal foi emitido para a conta da vítima. As vítimas são então solicitadas a devolver o valor em excesso ao operador. Isso é conhecido como golpe de reembolso e tem sido bastante comum há muitos anos.

“Embora esta campanha pareça ter como motivo ganho financeiro, as organizações avaliam que ela pode levar a outros tipos de atividade maliciosa”, escreveram a CISA e seus parceiros no comunicado. “Por exemplo, os invasores podem vender o acesso à conta da vítima para outros criminosos cibernéticos ou atores de ameaças persistentes avançadas.”

De golpistas a gangues de ransomware e muito mais

Enquanto isso, o uso malicioso de ferramentas de monitoramento e gerenciamento remoto que a Cisco Talos observou foi associado principalmente a ataques de ransomware, mostrando que outros tipos de cibercriminosos estão aproveitando essa tendência. Na verdade, os ataques de ransomware continuaram sendo a principal causa de engajamentos de resposta a incidentes para a Cisco Talos durante o trimestre anterior.

Em um caso, os invasores usando o ransomware Royal, que é suspeito de ser um spin-off do agora extinto Conti, implantaram o AnyDesk de monitoramento e gerenciamento remoto como um serviço na máquina da vítima para obter persistência. A mesma afiliada também implantou estruturas de equipe vermelha, como Cobalt Strike e Mimikatz, continuando a tendência de lança mão de ferramentas de uso duplo.

Veja isso
VMware corrige três bugs críticos em ferramenta de acesso remoto
Paessler expande capacidade de monitoramento de rede

Em um número crescente de incidentes que terminaram com a implantação do ransomware Royal, os invasores primeiro usaram um “conta-gotas” de malware chamado BatLoader, que então implantaram o Cobalt Strike e outras ferramentas e, finalmente, a carga útil do ransomware. O BatLoader é um malware relativamente novo e os pesquisadores descobriram que ele compartilhava indicadores de comprometimento (IOCs) com atividades anteriores do Conti, incluindo a implantação de um agente de monitoramento e gerenciamento remoto da Atera.

Uma ferramenta de monitoramento e gerenciamento remoto ainda mais usada é a Syncro, que também foi implantada pelo BatLoader e por outros invasores, incluindo aqueles que usam o Qakbot, um ladrão de informações de longa data. Os distribuidores do Qakbot também foram vistos usando outro software de monitoramento e gerenciamento remoto, chamado SplashTop, junto com várias ferramentas de uso duplo para mapeamento do Active Directory, como ADFind e SharpHound.

“Neste trimestre, quase 40% dos engajamentos apresentaram e-mails de phishing usados como meio de estabelecer acesso inicial, seguido pela execução de um documento ou link malicioso pelo usuário”, disseram os pesquisadores da Cisco Talos em seu relatório.

Compartilhar: