📰 Informação fresquinha chegando para você!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Organizações de alto valor localizadas no Sul, Sudeste e Leste Asiático foram alvo de uma ameaça chinesa como parte de uma campanha que durou anos.
A atividade, que tem como alvo os setores de aviação, energia, governo, aplicação da lei, farmacêutica, tecnologia e telecomunicações, foi atribuída pela Unidade 42 da Palo Alto Networks a um grupo de atividades de ameaças anteriormente não documentado denominado CL-UNK-1068, onde "CL" refere-se a "cluster" e "UNK" significa motivação desconhecida.
No entanto, o fornecedor de segurança avaliou com “confiança moderada a alta” que o objetivo principal da campanha é a espionagem cibernética.
“Nossa análise revela um conjunto de ferramentas multifacetadas que inclui malware personalizado, utilitários de código aberto modificados e binários que vivem fora da terra (LOLBINs)”, disse o pesquisador de segurança Tom Fakterman. “Isso fornece uma maneira simples e eficaz para os invasores manterem uma presença persistente nos ambientes visados”.
As ferramentas são projetadas para atingir ambientes Windows e Linux, com o adversário contando com uma combinação de utilitários de código aberto e famílias de malware, como Godzilla, ANTSWORD, Xnote e Fast Reverse Proxy (FRP), todos utilizados por vários grupos de hackers chineses.
Embora Godzilla e ANTSWORD funcionem como web shells, o Xnote é um backdoor do Linux que foi detectado desde 2015 e foi implantado por um coletivo adversário conhecido como Earth Berberoka (também conhecido como GamblingPuppet) em ataques direcionados a sites de jogos de azar online.
Cadeias de ataque típicas envolvem a exploração de servidores web para entregar shells web e mover-se lateralmente para outros hosts, seguido por tentativas de roubar arquivos que correspondam a certas extensões ("web.config," ".aspx," ".asmx," ".asax," e ".dll") do diretório "c:\inetpub\wwwroot" de um servidor web Windows, provavelmente em uma tentativa de roubar credenciais ou descobrir vulnerabilidades.
Outros arquivos coletados pelo CL-UNK-1068 incluem histórico e favoritos do navegador da web, arquivos XLSX e CSV de desktops e diretórios USER e arquivos de backup de banco de dados (.bak) de servidores MS-SQL.
Em uma reviravolta interessante, os agentes da ameaça foram observados usando WinRAR para arquivar os arquivos relevantes, codificando os arquivos em Base64 executando o comando certutil -encode e, em seguida, executando o comando type para imprimir o conteúdo Base64 em sua tela por meio do web shell.
“Ao codificar os arquivos como texto e imprimi-los na tela, os invasores conseguiram exfiltrar dados sem realmente carregar nenhum arquivo”, disse a Unidade 42. “Os invasores provavelmente escolheram esse método porque o shell no host lhes permitiu executar comandos e visualizar a saída, mas não transferir arquivos diretamente”.
Uma das técnicas empregadas nesses ataques é o uso de executáveis Python legítimos ("python.exe" e "pythonw.exe") para lançar ataques de carregamento lateral de DLL e executar furtivamente DLLs maliciosas, incluindo FRP para acesso persistente, PrintSpoofer e um scanner personalizado baseado em Go chamado ScanPortPlus.
Diz-se também que CL-UNK-1068 se envolveu em esforços de reconhecimento usando uma ferramenta .NET personalizada chamada SuperDump já em 2020. Intrusões recentes fizeram a transição para um novo método que usa scripts em lote para coletar informações do host e mapear o ambiente local.
Também é utilizada pelo adversário uma ampla gama de ferramentas para facilitar o roubo de credenciais -
Mimikatz, para despejar senhas da memória
LsaRecorder, para conectar LsaApLogonUserEx2 para registrar a senha do WinLogon
DumpItForLinux e Volatility Framework para extrair hashes de senha da memória
Ferramenta de exportação de senha do SQL Server Management Studio, para extrair o conteúdo de "sqlstudio.bin", que armazena informações de conexão para o Microsoft SQL Server Management Studio (SSMS)
“Usando principalmente ferramentas de código aberto, malware compartilhado pela comunidade e scripts em lote, o grupo manteve com sucesso operações furtivas enquanto se infiltrava em organizações críticas”, concluiu a Unidade 42.
"Este conjunto de atividades demonstra versatilidade ao operar em ambientes Windows e Linux, usando diferentes versões de seu conjunto de ferramentas para cada sistema operacional. Embora o foco no roubo de credenciais e na exfiltração de dados confidenciais de infraestrutura crítica e setores governamentais sugira fortemente um motivo de espionagem, ainda não podemos descartar totalmente as intenções dos criminosos cibernéticos."
A atividade, que tem como alvo os setores de aviação, energia, governo, aplicação da lei, farmacêutica, tecnologia e telecomunicações, foi atribuída pela Unidade 42 da Palo Alto Networks a um grupo de atividades de ameaças anteriormente não documentado denominado CL-UNK-1068, onde "CL" refere-se a "cluster" e "UNK" significa motivação desconhecida.
No entanto, o fornecedor de segurança avaliou com “confiança moderada a alta” que o objetivo principal da campanha é a espionagem cibernética.
“Nossa análise revela um conjunto de ferramentas multifacetadas que inclui malware personalizado, utilitários de código aberto modificados e binários que vivem fora da terra (LOLBINs)”, disse o pesquisador de segurança Tom Fakterman. “Isso fornece uma maneira simples e eficaz para os invasores manterem uma presença persistente nos ambientes visados”.
As ferramentas são projetadas para atingir ambientes Windows e Linux, com o adversário contando com uma combinação de utilitários de código aberto e famílias de malware, como Godzilla, ANTSWORD, Xnote e Fast Reverse Proxy (FRP), todos utilizados por vários grupos de hackers chineses.
Embora Godzilla e ANTSWORD funcionem como web shells, o Xnote é um backdoor do Linux que foi detectado desde 2015 e foi implantado por um coletivo adversário conhecido como Earth Berberoka (também conhecido como GamblingPuppet) em ataques direcionados a sites de jogos de azar online.
Cadeias de ataque típicas envolvem a exploração de servidores web para entregar shells web e mover-se lateralmente para outros hosts, seguido por tentativas de roubar arquivos que correspondam a certas extensões ("web.config," ".aspx," ".asmx," ".asax," e ".dll") do diretório "c:\inetpub\wwwroot" de um servidor web Windows, provavelmente em uma tentativa de roubar credenciais ou descobrir vulnerabilidades.
Outros arquivos coletados pelo CL-UNK-1068 incluem histórico e favoritos do navegador da web, arquivos XLSX e CSV de desktops e diretórios USER e arquivos de backup de banco de dados (.bak) de servidores MS-SQL.
Em uma reviravolta interessante, os agentes da ameaça foram observados usando WinRAR para arquivar os arquivos relevantes, codificando os arquivos em Base64 executando o comando certutil -encode e, em seguida, executando o comando type para imprimir o conteúdo Base64 em sua tela por meio do web shell.
“Ao codificar os arquivos como texto e imprimi-los na tela, os invasores conseguiram exfiltrar dados sem realmente carregar nenhum arquivo”, disse a Unidade 42. “Os invasores provavelmente escolheram esse método porque o shell no host lhes permitiu executar comandos e visualizar a saída, mas não transferir arquivos diretamente”.
Uma das técnicas empregadas nesses ataques é o uso de executáveis Python legítimos ("python.exe" e "pythonw.exe") para lançar ataques de carregamento lateral de DLL e executar furtivamente DLLs maliciosas, incluindo FRP para acesso persistente, PrintSpoofer e um scanner personalizado baseado em Go chamado ScanPortPlus.
Diz-se também que CL-UNK-1068 se envolveu em esforços de reconhecimento usando uma ferramenta .NET personalizada chamada SuperDump já em 2020. Intrusões recentes fizeram a transição para um novo método que usa scripts em lote para coletar informações do host e mapear o ambiente local.
Também é utilizada pelo adversário uma ampla gama de ferramentas para facilitar o roubo de credenciais -
Mimikatz, para despejar senhas da memória
LsaRecorder, para conectar LsaApLogonUserEx2 para registrar a senha do WinLogon
DumpItForLinux e Volatility Framework para extrair hashes de senha da memória
Ferramenta de exportação de senha do SQL Server Management Studio, para extrair o conteúdo de "sqlstudio.bin", que armazena informações de conexão para o Microsoft SQL Server Management Studio (SSMS)
“Usando principalmente ferramentas de código aberto, malware compartilhado pela comunidade e scripts em lote, o grupo manteve com sucesso operações furtivas enquanto se infiltrava em organizações críticas”, concluiu a Unidade 42.
"Este conjunto de atividades demonstra versatilidade ao operar em ambientes Windows e Linux, usando diferentes versões de seu conjunto de ferramentas para cada sistema operacional. Embora o foco no roubo de credenciais e na exfiltração de dados confidenciais de infraestrutura crítica e setores governamentais sugira fortemente um motivo de espionagem, ainda não podemos descartar totalmente as intenções dos criminosos cibernéticos."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #exploits #de #servidor #web #e #mimikatz #usados #em #ataques #direcionados #à #infraestrutura #crítica #asiática
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário