🌟 Atualização imperdível para quem gosta de estar bem informado!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os caçadores de ameaças chamaram a atenção para uma nova campanha, como parte da qual malfeitores se disfarçaram de falso suporte de TI para fornecer a estrutura de comando e controle (C2) Havoc como um precursor da exfiltração de dados ou ataque de ransomware.
As intrusões, identificadas pela Huntress no mês passado em cinco organizações parceiras, envolveram os agentes da ameaça usando spam de e-mail como iscas, seguido por um telefonema de um balcão de TI que ativa um pipeline de entrega de malware em camadas.
“Em uma organização, o adversário passou do acesso inicial para nove endpoints adicionais ao longo de onze horas, implantando uma combinação de cargas personalizadas do Havoc Demon e ferramentas RMM legítimas para persistência, com a velocidade do movimento lateral sugerindo fortemente que o objetivo final era exfiltração de dados, ransomware ou ambos”, disseram os pesquisadores Michael Tigges, Anna Pham e Bryan Masters.
É importante notar que o modus operandi é consistente com bombardeios de e-mail e ataques de phishing do Microsoft Teams orquestrados por agentes de ameaças associados à operação de ransomware Black Basta no passado. Embora o grupo do crime cibernético pareça ter ficado em silêncio após um vazamento público de seus registros de bate-papo interno no ano passado, a presença contínua do manual do grupo sugere dois cenários possíveis.
Uma possibilidade é que ex-afiliados do Black Basta tenham passado para outras operações de ransomware e as estejam usando para montar novos ataques, ou dois atores de ameaças rivais tenham adotado a mesma estratégia para conduzir engenharia social e obter acesso inicial.
A cadeia de ataque começa com uma campanha de spam com o objetivo de sobrecarregar as caixas de entrada de um alvo com lixo eletrônico. Na próxima etapa, os agentes da ameaça, disfarçados de suporte de TI, entram em contato com os destinatários e os enganam para que concedam acesso remoto às suas máquinas por meio de uma sessão de Assistência Rápida ou instalando ferramentas como o AnyDesk para ajudar a remediar o problema.
Com o acesso implementado, o adversário não perde tempo iniciando o navegador da web e navegando para uma página de destino falsa hospedada na Amazon Web Services (AWS) que se faz passar pela Microsoft e instrui a vítima a inserir seu endereço de e-mail para acessar o sistema de atualização de regras anti-spam do Outlook e atualizar as regras de spam.
Clicar em um botão para “Atualizar configuração de regras” na página falsificada aciona a execução de um script que exibe uma sobreposição solicitando que o usuário insira sua senha.
“Esse mecanismo tem dois propósitos: permite que o agente da ameaça (TA) colete credenciais, que, quando combinadas com o endereço de e-mail necessário, fornecem acesso ao painel de controle; ao mesmo tempo, adiciona uma camada de autenticidade à interação, convencendo o usuário de que o processo é genuíno”, disse Huntress.
O ataque também depende do download do suposto patch anti-spam, que, por sua vez, leva à execução de um binário legítimo chamado "ADNotificationManager.exe" (ou "DLPUserAgent.exe" e "Werfault.exe") para carregar uma DLL maliciosa. A carga útil da DLL implementa evasão de defesa e executa a carga útil do shellcode Havoc gerando um thread contendo o agente Demon.
Pelo menos uma das DLLs identificadas ("vcruntime140_1.dll") incorpora truques adicionais para evitar a detecção por software de segurança usando ofuscação de fluxo de controle, loops de atraso baseados em tempo e técnicas como Hell's Gate e Halo's Gate para conectar funções ntdll.dll e ignorar soluções de detecção e resposta de endpoint (EDR).
“Após a implantação bem-sucedida do Havoc Demon no hospedeiro da cabeça de ponte, os atores da ameaça começaram o movimento lateral em todo o ambiente da vítima”, disseram os pesquisadores. “Embora a engenharia social inicial e a entrega de malware tenham demonstrado algumas técnicas interessantes, a atividade prática no teclado que se seguiu foi comparativamente simples”.
Isso inclui a criação de tarefas agendadas para iniciar a carga útil do Havoc Demon sempre que os endpoints infectados forem reinicializados, fornecendo aos agentes da ameaça acesso remoto persistente. Dito isso, descobriu-se que o ator da ameaça implanta ferramentas legítimas de monitoramento e gerenciamento remoto (RMM), como Level RMM e XEOX, em alguns hosts comprometidos, em vez do Havoc, diversificando assim seus mecanismos de persistência.
Algumas conclusões importantes destes ataques são que os agentes de ameaças ficam mais do que felizes em personificar a equipa de TI e ligar para números de telefone pessoais se isso melhorar a taxa de sucesso, técnicas como a evasão de defesa que antes eram limitadas a ataques a grandes empresas ou campanhas patrocinadas pelo Estado estão a tornar-se cada vez mais comuns, e o malware de mercadorias é personalizado para contornar assinaturas baseadas em padrões.
Também digno de nota é a velocidade com que os ataques progridem de forma rápida e agressiva, desde o comprometimento inicial até o movimento lateral, bem como os numerosos métodos usados para manter a persistência.
"O que começa como um telefonema do 'suporte de TI' termina com um comprometimento da rede totalmente instrumentada –
As intrusões, identificadas pela Huntress no mês passado em cinco organizações parceiras, envolveram os agentes da ameaça usando spam de e-mail como iscas, seguido por um telefonema de um balcão de TI que ativa um pipeline de entrega de malware em camadas.
“Em uma organização, o adversário passou do acesso inicial para nove endpoints adicionais ao longo de onze horas, implantando uma combinação de cargas personalizadas do Havoc Demon e ferramentas RMM legítimas para persistência, com a velocidade do movimento lateral sugerindo fortemente que o objetivo final era exfiltração de dados, ransomware ou ambos”, disseram os pesquisadores Michael Tigges, Anna Pham e Bryan Masters.
É importante notar que o modus operandi é consistente com bombardeios de e-mail e ataques de phishing do Microsoft Teams orquestrados por agentes de ameaças associados à operação de ransomware Black Basta no passado. Embora o grupo do crime cibernético pareça ter ficado em silêncio após um vazamento público de seus registros de bate-papo interno no ano passado, a presença contínua do manual do grupo sugere dois cenários possíveis.
Uma possibilidade é que ex-afiliados do Black Basta tenham passado para outras operações de ransomware e as estejam usando para montar novos ataques, ou dois atores de ameaças rivais tenham adotado a mesma estratégia para conduzir engenharia social e obter acesso inicial.
A cadeia de ataque começa com uma campanha de spam com o objetivo de sobrecarregar as caixas de entrada de um alvo com lixo eletrônico. Na próxima etapa, os agentes da ameaça, disfarçados de suporte de TI, entram em contato com os destinatários e os enganam para que concedam acesso remoto às suas máquinas por meio de uma sessão de Assistência Rápida ou instalando ferramentas como o AnyDesk para ajudar a remediar o problema.
Com o acesso implementado, o adversário não perde tempo iniciando o navegador da web e navegando para uma página de destino falsa hospedada na Amazon Web Services (AWS) que se faz passar pela Microsoft e instrui a vítima a inserir seu endereço de e-mail para acessar o sistema de atualização de regras anti-spam do Outlook e atualizar as regras de spam.
Clicar em um botão para “Atualizar configuração de regras” na página falsificada aciona a execução de um script que exibe uma sobreposição solicitando que o usuário insira sua senha.
“Esse mecanismo tem dois propósitos: permite que o agente da ameaça (TA) colete credenciais, que, quando combinadas com o endereço de e-mail necessário, fornecem acesso ao painel de controle; ao mesmo tempo, adiciona uma camada de autenticidade à interação, convencendo o usuário de que o processo é genuíno”, disse Huntress.
O ataque também depende do download do suposto patch anti-spam, que, por sua vez, leva à execução de um binário legítimo chamado "ADNotificationManager.exe" (ou "DLPUserAgent.exe" e "Werfault.exe") para carregar uma DLL maliciosa. A carga útil da DLL implementa evasão de defesa e executa a carga útil do shellcode Havoc gerando um thread contendo o agente Demon.
Pelo menos uma das DLLs identificadas ("vcruntime140_1.dll") incorpora truques adicionais para evitar a detecção por software de segurança usando ofuscação de fluxo de controle, loops de atraso baseados em tempo e técnicas como Hell's Gate e Halo's Gate para conectar funções ntdll.dll e ignorar soluções de detecção e resposta de endpoint (EDR).
“Após a implantação bem-sucedida do Havoc Demon no hospedeiro da cabeça de ponte, os atores da ameaça começaram o movimento lateral em todo o ambiente da vítima”, disseram os pesquisadores. “Embora a engenharia social inicial e a entrega de malware tenham demonstrado algumas técnicas interessantes, a atividade prática no teclado que se seguiu foi comparativamente simples”.
Isso inclui a criação de tarefas agendadas para iniciar a carga útil do Havoc Demon sempre que os endpoints infectados forem reinicializados, fornecendo aos agentes da ameaça acesso remoto persistente. Dito isso, descobriu-se que o ator da ameaça implanta ferramentas legítimas de monitoramento e gerenciamento remoto (RMM), como Level RMM e XEOX, em alguns hosts comprometidos, em vez do Havoc, diversificando assim seus mecanismos de persistência.
Algumas conclusões importantes destes ataques são que os agentes de ameaças ficam mais do que felizes em personificar a equipa de TI e ligar para números de telefone pessoais se isso melhorar a taxa de sucesso, técnicas como a evasão de defesa que antes eram limitadas a ataques a grandes empresas ou campanhas patrocinadas pelo Estado estão a tornar-se cada vez mais comuns, e o malware de mercadorias é personalizado para contornar assinaturas baseadas em padrões.
Também digno de nota é a velocidade com que os ataques progridem de forma rápida e agressiva, desde o comprometimento inicial até o movimento lateral, bem como os numerosos métodos usados para manter a persistência.
"O que começa como um telefonema do 'suporte de TI' termina com um comprometimento da rede totalmente instrumentada –
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #spam #falso #de #suporte #técnico #implanta #havoc #c2 #personalizado #em #organizações
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário