16/12/2022 às 15h51min - Atualizada em 17/12/2022 às 00h01min
Picus Labs e CLM analisam as cinco ciberameaças mais nocivas observadas em novembro
Famílias de malwares e campanhas de ransomware adotam diferentes estratégias – phishing, roubo de informações, criptominerador etc. – para obter sucesso em suas investidas
SALA DA NOTÍCIA MakingNews
https://clm.com.br/fabricantes/picus/
Picus O Picus Labs e a CLM, distribuidor latino-americano de valor agregado com foco em segurança da informação, proteção de dados, cloud e infraestrutura para data centers, value-added distributor da Picus, listam as cinco principais ciberameaças que vitimaram milhares de organizações no mês passado. São elas: Agentes maliciosos, patrocinados pelo governo iraniano, de APT (Advanced Persistent Threat) implantaram um criptominerador e um coletor de credenciais em redes federais estadunidenses. O ransomware Hive, que afetou mais de 1,3 mil empresas causando um prejuízo de 100 milhões de dólares em pagamento de resgates. Carregador de backdoor TONESHELL, cujos ataques foram impetrados pelo grupo Earth Preta, também conhecido como Mustang Panda e Bronze President, usam contas falsas do Google e do DropBox, com o uso de APT. Nova variante do ransomware Koxic que, apesar de ter surgido na Coréia, perpetrou ataques em todo o mundo. O Koxic reconfigura o sistema, desabilita os recursos de monitoramento em tempo real, inclusive de comportamento, impedindo a detecção do Windows Defender. Malware Aurora, que surgiu inicialmente como um botnet de Malware-as-a-Service (MaaS) com recursos de roubo de dados e acesso remoto. Em setembro, os pesquisadores de cibersegurança descobriram que ele havia se tornado um infostelear e, em novembro, a partir da análise de muitos servidores C2 ativos, descobriu-se que o Aurora era o infostealer número um usado pelos agentes maliciosos. Qualquer que seja o cenário, afirma o CEO da CLM, Francisco Camargo, para se prevenir destas e de outras ameaças é indispensável fazer a simulação e testar as defesas das empresas. “Vale mencionar que, de acordo com um relatório da Picus Library divulgado esta semana, apesar de a maioria dos firewalls detectar e bloquear, por exemplo, ataques de SQLi com bastante facilidade. Pesquisas recentes mostraram que muitos fornecedores de firewalls de aplicativos da Web (WAF) não conseguiram bloquear ataques SQLi que exploram o JSON para entrega. A Picus Labs adicionou esse novo método de desvio de WAF para injeção de SQL à Picus Threat Library”, conta. Camargo afirma que as investidas diversificadas e com enorme potencial de fazer vítimas precisam ser descobertas e analisadas rapidamente para minimizar os impactos nas organizações. “Por isto, é tão importante termos parceiros com laboratórios avançados e ágeis para incluir rapidamente ‘antídotos’ contra as ameaças que surgem de forma tão acelerada”, comenta. O Picus Labs, por exemplo, inclui rapidamente todas as ameaças que surgem à Picus Threat Library, permitindo que as empresas simulem, validem e aprimorem seus sistemas de segurança, à medida que os novos ataques são descobertos. Informações detalhadas sobre as cinco ciberameaças Para quem precisa de mais detalhes sobre essas cinco ameaças, vale conferir mais detalhes, inclusive as tabelas, cujas diversas ciberameaças relativas a esses ataques foram incluídas pela Picus em sua biblioteca. 1. Agentes de APTs iranianos que atacaram o FCEB (AA22-320A) Em 16 de novembro de 2022, a CISA (Cibersecurity & Infraestructure Security Agency) e o FBI emitiram um comunicado conjunto sobre a campanha de ataque desses agentes APT, que exploraram a vulnerabilidade não corrigida Log4Shell para acessar um servidor VMware Horizon, que pertence a uma organização do Poder Executivo Federal Civil (FCEB) dos Estados Unidos. No acesso inicial, os cibercriminosos permitiam que diretórios específicos baixassem ferramentas maliciosas sem serem notados por verificações de vírus. Depois, eles executavam um script do PowerShell para desabilitar o Windows Defender e baixaram arquivos e softwares maliciosos (minerador de criptografia XMRig) no sistema de destino, que posteriormente foram aproveitados para estabelecer persistência e usar o poder de computação da vítima para minerar criptomoedas. Então, os atacantes se movem lateralmente no servidor VM Horizon comprometido para o host VMware VDI-KMS usando uma conta de usuário integrada do Windows em uma conexão RDP. Mais tarde, eles transferiram algumas ferramentas para o host VID-KMS (Mimikatz, PsExec, ngrok) para atividades de pós-exploração. Por fim, conseguiram ter controle total sobre todos os ativos associados ao domínio, incluindo o controlador de domínio. Picus Threat Library incluiu as seguintes para o APT iraniano: | Threat ID | Threat Name |
| 21296 | Apache Log4j Web Attack Campaign (Web Application) |
| 63158 | XMRig Malware Downloader Email Threat (Email Infiltration) |
| 93377 | XMRig Malware Downloader Download Threat (Network Infiltration) |
| 77752 | XMRigMinerDropper Email Threat (Email Infiltration) |
| 24052 | XMrig Cryptocurrency Email Threat (Email Infiltration) |
| 27275 | XMRigMinerDropper Worm Email Threat (Email Infiltration) |
| 90867 | XMRigMinerDropper Download Threat (Network Infiltration) |
| 44668 | XMrig Cryptocurrency Download Threat (Network Infiltration) |
| 48749 | XMRigCC Cryptocurrency Miner Download Threat (Network Infiltration) |
| 47618 | XMRigMinerDropper Worm Download Threat (Network Infiltration) |
2. Ransomware Hive (AA22-321A)
Detentores do ransomware Hive utilizam diferentes técnicas de acesso inicial. No entanto, o Picus Labs observou que eles enviam e-mails de phishing com anexo malicioso, criados para explorar vulnerabilidades conhecidas em aplicativos voltados para o público, como Windows Exchange Servers.
Depois que o ponto de apoio é obtido, os agentes do Hive baixam binários maliciosos e um script ofuscado do Powershell, que faz parte da estrutura do Cobalt Strike, de seu servidor C2. Ao comprometer o usuário interno mais poderoso do computador local, NT Authority, os atacantes despejam todos os hashes NTLM para alavancar um ataque Pass-the-Hash (PtH).
Usando as credenciais de conta válidas roubadas, os criminosos enviam solicitações de conexão RDP (Remote Desktop Protocol) para muitos ativos internos para ver a quais bancos de dados eles têm acesso. Suspeita-se que isso tenha sido feito para verificar a expansão de seu acesso e descobrir quais informações confidenciais eles podem exfiltrar antes do início da criptografia. Em seguida, tendo uma lista de todos os objetos de domínio, os invasores executam um script em lote para executar ping em todos os itens da lista e gravar aqueles que respondem a um arquivo. Esses arquivos são criptografados posteriormente para maior impacto.
“De fato, Espionagem cibernética explorando o Google Drive para infraestrutura C2 foi reportada por outras empresas expoentes em cibersegurança, como a Netskope”, menciona Camargo.
A Picus Labs incluiu novas simulações de ataque à Picus Threat Library para novos malwares usados pelos agentes do Hive.
| Threat ID | Threat Name |
| 28770 | Hive Ransomware Download Threat (Network Infiltration) |
| 59759 | Hive Ransomware Campaign (Endpoint) |
| 63385 | Hive Ransomware Email Threat (Email Infiltration) |
3. Carregador de backdoor TONESHELL, cujos ataques foram impetrados pelo grupo, que usa APT, o Earth Preta, também conhecido como Mustang Panda e Bronze President. Estes crackers usam contas falsas do Google e do DropBox, enviando spearphishing com um link malicioso do Google Drive ou DropBox anexado a eles para implantar o malware Hive.
“A partir de março de 2022, começamos a ver uma nova atividade de ciberespionagem”, diz o relatório do Picus Labs. De acordo com pesquisadores de segurança, esta campanha de ataque se origina de um agente de Ameaça Persistente Avançada (APT) A análise mostra que os anexos contêm arquivos maliciosos (rar/zip/jar), como imagens (.png), documentos do Word (.doc) e executáveis legítimos (.exe), que têm nomes de aparência benigna, o que leva as vítimas a pensar que vêm de fontes governamentais. Mas, na realidade, acionam a execução das seguintes famílias de malware: TONEINS, TONESHELL e PUBLOAD.
Entre esses três malwares, o TONESHELL é o backdoor usado principalmente pelo Earth Preta em suas campanhas direcionadas de phishing. O TONESHELL é carregado e decodificado no sistema de destino por meio do carregador de shellcode, chamado Backdoor.Win32.TONESHELL. Análise mais aprofundada mostra que o código da carga TONESHELL contém várias funções com strings autoexplicativas usadas para upload, download e execução de arquivos, movimento lateral e troca de dados na intranet por meio do OnePipeShell, shell unidirecional sobre um pipe nomeado e funções TwoPipeShell.
Depois que o backdoor é instalado e a comunicação C2 criptografada é estabelecida, os atacantes exfiltram informações confidenciais como parte de seu método de dupla extorsão.
Picus Labs já havia incluído as ameaças para o Mustang Panda. Agora, incluiu ao Picus Threat Library as seguintes ameaças para TONESHELL backdoor, TONEINS malware dropper e PUBLOAD malware downloader:
| Threat ID | Threat Name |
| 59444 | TONESHELL Backdoor Malware Download Threat |
| 91901 | TONESHELL Backdoor Malware Email Threat |
| 65814 | TONEINS Malware Dropper Download Threat (Network Infiltration) |
| 50546 | TONEINS Malware Dropper Email Threat (E-mail Infiltration) |
| 86723 | PUBLOAD Malware Downloader Download Threat (Network Infiltration) |
| 67981 | PUBLOAD Malware Downloader Email Threat (E-mail Infiltration) |
| 59489 | Mustang Panda Threat Group Campaign Malware Email Threat (E-mail Infiltration) |
| 56290 | Mustang Panda Threat Group Campaign Malware Download Threat (Network Infiltration) |
4. Ransomware Koxic – nova variante. Apesar de ter surgido na Coréia, o Koxic perpetrou ataques em todo o mundo. Ele reconfigura o sistema, desabilita os recursos de monitoramento em tempo real, inclusive de comportamento, impedindo a detecção do Windows Defender.
Ao ser executado, o ransomware Koxic inicia uma fase de descoberta para recuperar as informações atuais do sistema. Depois, ele reconfigura a expiração do RDP ao máximo para manter uma sessão de área de trabalho remota mais estendida e desabilita os recursos de monitoramento em tempo real e de comportamento do Windows Defender para evitar a detecção e impedir que os sistemas de defesa enviem notificações de alerta aos sistemas SIEM.
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\MaxDisconnectionTime HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\MaxIdleTime
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableBehaviorMonitoring HKCU\Software\Policies\Microsoft\Windows\Explorer\DisableNotificationCenter O ransomware continua seu fluxo excluindo as cópias de sombra do volume e desativando os serviços de banco de dados como MongoDB, SQLWriter e MySQL. Então, o malware começa a fazer uma lista de todos os alvos que podem ser criptografados. Como um processo paralelo, trata-se de uma ameaça que percorre essa lista, criptografando cada item um a um. A criptografia é realizada usando o algoritmo AES no modo CBC, onde o valor de valor de inicialização (IV) e a chave simétrica para o algoritmo AES são criptografados por um algoritmo de criptografia assimétrica, RSA.
A Picus Threat Library inclui as seguintes ameaças para o ransomware Koxic:
| Threat ID | Threat Name |
| 55587 | Koxic Ransomware Download Threat (Network Infiltration) |
| 26807 | Koxic Ransomware Email Threat (E-mail Infiltration) |
5. Malware Aurora surgiu inicialmente como um botnet de Malware-as-a-Service (MaaS) com recursos de roubo de dados e acesso remoto. Em setembro, os pesquisadores de cibersegurança descobriram que ele havia se tornado um infostelear e, em novembro, a partir da análise de muitos servidores C2 ativos, descobriu-se que o Aurora havia se tornado o infostealer número um usado pelos agentes maliciosos. “Os dados são exfiltrados no formato JSON do sistema de destino para um Aurora C2 de propriedade do invasor, que escuta o tráfego de rede de entrada nas portas 9865 e 8081 por TCP”, detalha o relatório do Picus Labs, que já havia observado diferentes RATs (PoetRAT, FairFAX) usados na campanha de malware Aurora em 2021. Em abril de 2022, o Aurora foi anunciado pela primeira vez em fóruns de hackers de língua russa e no canal Telegram como um botnet Malware-as-a-Service (MaaS) com recursos de roubo de dados e acesso remoto. Em agosto de 2022, sua atividade quase desapareceu; sendo suspeito de que seus desenvolvedores pararam de vendê-lo e removeram seu código de repositórios clandestinos. No entanto, em setembro de 2022, uma nova e grande atividade do Aurora chamou a atenção dos pesquisadores de segurança, revelando-se não como um botnet, mas como um “infostealer”. Tornou-se tão popular que muitas equipes de grandes traficantes sugeriram seu uso. Em novembro de 2022, uma análise de muitos servidores C2 ativos mostrou que Aurora havia se tornado o infostealer número um usado por agentes hostis. O Aurora usa principalmente a biblioteca lxn/win para obter informações relacionadas ao sistema, que dependem do WMIC. Os seguintes comandos wmic são executados no host infectado:
Figure 11. File grabber functionality of Aurora infostealer Os dados são exfiltrados no formato JSON do sistema de destino para um Aurora C2 de propriedade do invasor, que escuta o tráfego de rede de entrada nas portas 9865 e 8081 por TCP. Agora, a Picus Threat Library inclui aa seguintes ameaças para o malware Aurora infostealer: | Threat ID | Threat Name |
| 38571 | Aurora Infostealer Download Threat (Network Infiltration) |
| 56237 | Aurora Infostealer Email Threat (E-mail Infiltration) |
| 24087 | Aurora Campaign Malware Download Threat (Network Infiltration) |
| 30142 | FairFax RAT Email Threat (E-mail Infiltration) |
| 76563 | FairFax RAT Download Threat (Network Infiltration) |
| 31003 | PoetRAT RAT Download Threat (Network Infiltration) |
Picus
