🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um invasor que fala francês invadiu uma pequena empresa automotiva francesa, plantou um keylogger e roubou credenciais bancárias e de e-mail.
Coisas comuns, até um movimento perto do fim.
Antes que seu servidor de comando e controle desligasse, ele instalou o OpenSSH e o Tailscale na máquina da vítima, construindo um caminho de volta que não passava pelo C2. Quando o servidor Havoc ficou offline no dia seguinte, seu acesso não aconteceu. Dezoito dias depois, o C2 voltou, seus agentes se reconectaram por conta própria e ele seguiu em frente.
A Cato Networks capturou toda a operação comando por comando, 339 delas em 33 dias, depois que o operador deixou suas chaves SSH e um manual passo a passo em um balde de armazenamento aberto. O artigo, publicado terça-feira pelo pesquisador do Cato CTRL, Vitaly Simonovich, é uma visão rara de uma intrusão do teclado do operador, em vez de sobras forenses.
A lição dos pesquisadores é direta: colocar um servidor C2 off-line não é uma solução se o invasor já tiver construído uma porta separada.
O ator, identificador de “Poisson”, não é um APT. Os pesquisadores descrevem um operador júnior com o que parece ser um horário escolar, ativo após as 15h. CET com um longo intervalo do meio-dia, tudo rodando em kit de nível gratuito: DuckDNS, Backblaze B2 e um IONOS VPS barato em Berlim. Sua habilidade comercial era escassa.
Ele vazou seu diretório inicial cinco vezes, nomeou seus baldes de armazenamento com seu próprio identificador e deixou um arquivo de teste de suas próprias teclas digitadas repetidamente dentro do pacote do keylogger. Ele falhou em cerca de metade do que tentou. Ele comprometeu quatro máquinas de qualquer maneira.
A cadeia
O malware foi executado quase inteiramente na memória. Um stager VBScript com atraso de evasão de sandbox descriptografou um carregador do PowerShell, que desativou um carregador .NET que executava o agente Demon do Havoc sem colocar o implante no disco. Para elevação, ele usou Start-Process -Verb RunAs, que não é um desvio silencioso do UAC. Ele exibe o prompt de consentimento do Windows e espera que alguém clique em Sim. Em uma vítima, foram necessárias uma dúzia de tentativas em dois dias.
Depois disso, veio a conclusão: uma tarefa agendada executada a cada logon com os privilégios mais altos, shellcode injetado no Explorer.exe e um RustDesk personalizado como canal de backup. O capturador de credenciais era um keylogger Python de 70 linhas que escrevia pressionamentos de teclas em um arquivo local, sem beacon e sem servidor exfil. Poisson acabou de fazer login, pegou o arquivo com a mão e executou o powercfg para evitar que as máquinas hibernassem, para que a colheita nunca fosse pausada.
O movimento que importa
Em 7 de abril, em uma sessão noturna de cinco horas, ele instalou o OpenSSH Server e o Tailscale, conectou a máquina da vítima à sua rede privada Tailscale e configurou o SSH baseado em chave e um túnel reverso. Agora ele poderia acessar a máquina pela malha criptografada do Tailscale sem C2 e sem portas expostas.
No dia seguinte, a infraestrutura Havoc ficou offline. Cato não diz por que, e isso pouco importa: o caminho Tailscale ficava em uma rede separada, então o acesso existia.
Quando o C2 retornou em 26 de abril, os agentes se reconectaram automaticamente, sem necessidade de novo compromisso. Nos últimos cinco dias, ele executou mais 145 comandos, investigou armazenamentos de cartões inteligentes e certificados (um sinal de que estava de olho em logins baseados em certificados), executou dois executáveis inexplicáveis de um arquivo chamado Thales.zip por cerca de 32 minutos no total, depois excluiu 17 arquivos e ficou quieto em 1º de maio.
O que ele queria era estreito. Nenhum Mimikatz, nenhum movimento lateral, nenhum ransomware e nenhum sinal de que ele pegou os documentos que consultou, desde registros fiscais até seguros. Exatamente o que as pessoas digitam: logins bancários, senhas de e-mail, portais governamentais. Para o proprietário de uma pequena empresa, isso representa exposição financeira direta.
Nenhuma das ferramentas é nova, e esse é o ponto. O APT31 da China usou o Tailscale até 2024 e 2025 para escapar silenciosamente de empresas de TI russas, o Scattered Spider apoiou-se em ferramentas legítimas de acesso remoto, como Ngrok e Fleetdeck, e o RustDesk, o canal de backup de Poisson, apareceu em invasões recentes do ransomware Akira .
Os binários são assinados e legítimos, portanto, a detecção que pára em arquivos ruins, e não em mau comportamento, os ignora. O que Poisson acrescenta é uma prova em nível de comando de que o truque sobrevive a uma queda, executada por alguém que claramente ainda está aprendendo.
O que assistir
A lista de caça de Cato é concreta:
Alerta quando o OpenSSH Server é instalado em uma estação de trabalho Windows, o que raramente é legítimo.
Fique atento ao tailscale.exe em máquinas que não têm motivos para executar uma VPN.
Procure túneis reversos ssh -R dirigidos para hosts externos.
Verifique se wscript.exe executa arquivos .vbs nas pastas de teste do usuário.
Sinalize tarefas agendadas definidas com os privilégios mais altos que iniciam interpretadores de script.
Fique atento às alterações no tempo limite de espera do powercfg que mantêm as máquinas ativadas.
Bloquear DuckDNS.
A maior delas: quando você encontrar um C2, presuma que ele não é a única maneira de entrar e procure a camada de persistência silenciosa por trás dele.
O que estava em Thales.zip e o que aqueles dois p
Coisas comuns, até um movimento perto do fim.
Antes que seu servidor de comando e controle desligasse, ele instalou o OpenSSH e o Tailscale na máquina da vítima, construindo um caminho de volta que não passava pelo C2. Quando o servidor Havoc ficou offline no dia seguinte, seu acesso não aconteceu. Dezoito dias depois, o C2 voltou, seus agentes se reconectaram por conta própria e ele seguiu em frente.
A Cato Networks capturou toda a operação comando por comando, 339 delas em 33 dias, depois que o operador deixou suas chaves SSH e um manual passo a passo em um balde de armazenamento aberto. O artigo, publicado terça-feira pelo pesquisador do Cato CTRL, Vitaly Simonovich, é uma visão rara de uma intrusão do teclado do operador, em vez de sobras forenses.
A lição dos pesquisadores é direta: colocar um servidor C2 off-line não é uma solução se o invasor já tiver construído uma porta separada.
O ator, identificador de “Poisson”, não é um APT. Os pesquisadores descrevem um operador júnior com o que parece ser um horário escolar, ativo após as 15h. CET com um longo intervalo do meio-dia, tudo rodando em kit de nível gratuito: DuckDNS, Backblaze B2 e um IONOS VPS barato em Berlim. Sua habilidade comercial era escassa.
Ele vazou seu diretório inicial cinco vezes, nomeou seus baldes de armazenamento com seu próprio identificador e deixou um arquivo de teste de suas próprias teclas digitadas repetidamente dentro do pacote do keylogger. Ele falhou em cerca de metade do que tentou. Ele comprometeu quatro máquinas de qualquer maneira.
A cadeia
O malware foi executado quase inteiramente na memória. Um stager VBScript com atraso de evasão de sandbox descriptografou um carregador do PowerShell, que desativou um carregador .NET que executava o agente Demon do Havoc sem colocar o implante no disco. Para elevação, ele usou Start-Process -Verb RunAs, que não é um desvio silencioso do UAC. Ele exibe o prompt de consentimento do Windows e espera que alguém clique em Sim. Em uma vítima, foram necessárias uma dúzia de tentativas em dois dias.
Depois disso, veio a conclusão: uma tarefa agendada executada a cada logon com os privilégios mais altos, shellcode injetado no Explorer.exe e um RustDesk personalizado como canal de backup. O capturador de credenciais era um keylogger Python de 70 linhas que escrevia pressionamentos de teclas em um arquivo local, sem beacon e sem servidor exfil. Poisson acabou de fazer login, pegou o arquivo com a mão e executou o powercfg para evitar que as máquinas hibernassem, para que a colheita nunca fosse pausada.
O movimento que importa
Em 7 de abril, em uma sessão noturna de cinco horas, ele instalou o OpenSSH Server e o Tailscale, conectou a máquina da vítima à sua rede privada Tailscale e configurou o SSH baseado em chave e um túnel reverso. Agora ele poderia acessar a máquina pela malha criptografada do Tailscale sem C2 e sem portas expostas.
No dia seguinte, a infraestrutura Havoc ficou offline. Cato não diz por que, e isso pouco importa: o caminho Tailscale ficava em uma rede separada, então o acesso existia.
Quando o C2 retornou em 26 de abril, os agentes se reconectaram automaticamente, sem necessidade de novo compromisso. Nos últimos cinco dias, ele executou mais 145 comandos, investigou armazenamentos de cartões inteligentes e certificados (um sinal de que estava de olho em logins baseados em certificados), executou dois executáveis inexplicáveis de um arquivo chamado Thales.zip por cerca de 32 minutos no total, depois excluiu 17 arquivos e ficou quieto em 1º de maio.
O que ele queria era estreito. Nenhum Mimikatz, nenhum movimento lateral, nenhum ransomware e nenhum sinal de que ele pegou os documentos que consultou, desde registros fiscais até seguros. Exatamente o que as pessoas digitam: logins bancários, senhas de e-mail, portais governamentais. Para o proprietário de uma pequena empresa, isso representa exposição financeira direta.
Nenhuma das ferramentas é nova, e esse é o ponto. O APT31 da China usou o Tailscale até 2024 e 2025 para escapar silenciosamente de empresas de TI russas, o Scattered Spider apoiou-se em ferramentas legítimas de acesso remoto, como Ngrok e Fleetdeck, e o RustDesk, o canal de backup de Poisson, apareceu em invasões recentes do ransomware Akira .
Os binários são assinados e legítimos, portanto, a detecção que pára em arquivos ruins, e não em mau comportamento, os ignora. O que Poisson acrescenta é uma prova em nível de comando de que o truque sobrevive a uma queda, executada por alguém que claramente ainda está aprendendo.
O que assistir
A lista de caça de Cato é concreta:
Alerta quando o OpenSSH Server é instalado em uma estação de trabalho Windows, o que raramente é legítimo.
Fique atento ao tailscale.exe em máquinas que não têm motivos para executar uma VPN.
Procure túneis reversos ssh -R dirigidos para hosts externos.
Verifique se wscript.exe executa arquivos .vbs nas pastas de teste do usuário.
Sinalize tarefas agendadas definidas com os privilégios mais altos que iniciam interpretadores de script.
Fique atento às alterações no tempo limite de espera do powercfg que mantêm as máquinas ativadas.
Bloquear DuckDNS.
A maior delas: quando você encontrar um C2, presuma que ele não é a única maneira de entrar e procure a camada de persistência silenciosa por trás dele.
O que estava em Thales.zip e o que aqueles dois p
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #junior #hacker #usou #tailscale #e #openssh #para #manter #o #acesso #depois #que #seu #c2 #ficou #offline
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário