📰 Informação fresquinha chegando para você!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um grupo de ameaças rastreado como UNC6692 usa engenharia social para implantar um novo pacote de malware personalizado chamado “Snow”, que inclui uma extensão de navegador, um tunelizador e um backdoor.
Seu objetivo é roubar dados confidenciais após comprometimento profundo da rede por meio de roubo de credenciais e controle de domínio.
De acordo com os pesquisadores da Mandiant do Google, o invasor usa táticas de “bombardeio por e-mail” para criar urgência e, em seguida, entra em contato com os alvos por meio do Microsoft Teams, fazendo-se passar por agentes de suporte técnico de TI.
Um relatório recente da Microsoft destacou a crescente popularidade dessa tática no espaço do crime cibernético, enganando os usuários para que concedam acesso remoto aos invasores por meio do Quick Assist ou outras ferramentas de acesso remoto.
No caso do UNC6692, a vítima é solicitada a clicar em um link para instalar um patch que bloquearia spam de e-mail. Na realidade, as vítimas recebem um dropper que executa scripts AutoHotkey que carregam “SnowBelt”, uma extensão maliciosa do Chrome.
Página maliciosa usada nos ataquesFonte: Google
A extensão é executada em uma instância sem cabeça do Microsoft Edge, para que a vítima não perceba nada, enquanto tarefas agendadas e um atalho para a pasta de inicialização também são criados para persistência.
O SnowBelt serve como um mecanismo de persistência e um mecanismo de retransmissão para comandos que o operador envia para um backdoor baseado em Python chamado SnowBasin.
Os comandos são entregues por meio de um túnel WebSocket estabelecido por uma ferramenta de tunelamento chamada SnowGlaze, para mascarar as comunicações entre o host e a infraestrutura de comando e controle (C2).
SnowGlaze também facilita as operações de proxy SOCKS, permitindo que o tráfego TCP arbitrário seja roteado através do host infectado.
O SnowBasin executa um servidor HTTP local e executa comandos CMD ou PowerShell fornecidos pelo invasor no sistema infectado, retransmitindo os resultados ao operador por meio do mesmo pipeline.
O malware suporta acesso remoto ao shell, exfiltração de dados, download de arquivos, captura de tela e operações básicas de gerenciamento de arquivos.
O operador também pode emitir um comando de encerramento automático para desligar o backdoor no host.
Capacidades do SnowBasinFonte: Google
A Mandiant descobriu que, após o comprometimento, os invasores realizaram reconhecimento interno, procurando serviços como SMB e RDP para identificar alvos adicionais e, em seguida, moviam-se lateralmente na rede.
Os invasores descartaram a memória LSASS para extrair material de credenciais e usaram técnicas de passagem de hash para autenticar hosts adicionais, eventualmente alcançando controladores de domínio.
No estágio final do ataque, o agente da ameaça implantou o FTK Imager para extrair o banco de dados do Active Directory, juntamente com as seções de registro SYSTEM, SAM e SECURITY.
Esses arquivos foram exfiltrados da rede usando o LimeWire, dando aos invasores acesso a dados de credenciais confidenciais em todo o domínio.
Ciclo de vida do ataqueFonte: Google
O relatório fornece extensos indicadores de comprometimento (IoCs) e também regras YARA para ajudar a detectar o conjunto de ferramentas “Snow”.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
Seu objetivo é roubar dados confidenciais após comprometimento profundo da rede por meio de roubo de credenciais e controle de domínio.
De acordo com os pesquisadores da Mandiant do Google, o invasor usa táticas de “bombardeio por e-mail” para criar urgência e, em seguida, entra em contato com os alvos por meio do Microsoft Teams, fazendo-se passar por agentes de suporte técnico de TI.
Um relatório recente da Microsoft destacou a crescente popularidade dessa tática no espaço do crime cibernético, enganando os usuários para que concedam acesso remoto aos invasores por meio do Quick Assist ou outras ferramentas de acesso remoto.
No caso do UNC6692, a vítima é solicitada a clicar em um link para instalar um patch que bloquearia spam de e-mail. Na realidade, as vítimas recebem um dropper que executa scripts AutoHotkey que carregam “SnowBelt”, uma extensão maliciosa do Chrome.
Página maliciosa usada nos ataquesFonte: Google
A extensão é executada em uma instância sem cabeça do Microsoft Edge, para que a vítima não perceba nada, enquanto tarefas agendadas e um atalho para a pasta de inicialização também são criados para persistência.
O SnowBelt serve como um mecanismo de persistência e um mecanismo de retransmissão para comandos que o operador envia para um backdoor baseado em Python chamado SnowBasin.
Os comandos são entregues por meio de um túnel WebSocket estabelecido por uma ferramenta de tunelamento chamada SnowGlaze, para mascarar as comunicações entre o host e a infraestrutura de comando e controle (C2).
SnowGlaze também facilita as operações de proxy SOCKS, permitindo que o tráfego TCP arbitrário seja roteado através do host infectado.
O SnowBasin executa um servidor HTTP local e executa comandos CMD ou PowerShell fornecidos pelo invasor no sistema infectado, retransmitindo os resultados ao operador por meio do mesmo pipeline.
O malware suporta acesso remoto ao shell, exfiltração de dados, download de arquivos, captura de tela e operações básicas de gerenciamento de arquivos.
O operador também pode emitir um comando de encerramento automático para desligar o backdoor no host.
Capacidades do SnowBasinFonte: Google
A Mandiant descobriu que, após o comprometimento, os invasores realizaram reconhecimento interno, procurando serviços como SMB e RDP para identificar alvos adicionais e, em seguida, moviam-se lateralmente na rede.
Os invasores descartaram a memória LSASS para extrair material de credenciais e usaram técnicas de passagem de hash para autenticar hosts adicionais, eventualmente alcançando controladores de domínio.
No estágio final do ataque, o agente da ameaça implantou o FTK Imager para extrair o banco de dados do Active Directory, juntamente com as seções de registro SYSTEM, SAM e SECURITY.
Esses arquivos foram exfiltrados da rede usando o LimeWire, dando aos invasores acesso a dados de credenciais confidenciais em todo o domínio.
Ciclo de vida do ataqueFonte: Google
O relatório fornece extensos indicadores de comprometimento (IoCs) e também regras YARA para ajudar a detectar o conjunto de ferramentas “Snow”.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
#samirnews #samir #news #boletimtec #ator #de #ameaça #usa #microsoft #teams #para #implantar #novo #malware #“snow”
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário