Resumo dos ataques cibernéticos de março de 2022 da Cymulate

Em março de 2022, os atores de ameaças aproveitaram o conflito na Ucrânia para impulsionar sua agenda.

Bear With Us

Um grupo chamado Ember Bear estava por trás do novo malware apelidado de Whispergate, que visava agências governamentais ucranianas. HermeticWiper é outro limpador também usado por agentes de ameaças na Ucrânia. Esse malware de limpeza de dados afetou centenas de computadores em suas redes na Ucrânia. Também vimos uma nova variante do LokiLocker, uma família de ransomware como serviço (RaaS) com possíveis origens no Irã. Esse malware foi atualizado com um limpador integrado para apagar todos os arquivos que não são do sistema de PCs Windows infectados.

TA416

Também em março, o TA416, ator de ameaças ligado ao governo chinês, aumentou suas campanhas contra governos europeus. O TA416 atualizou a carga útil de seu malware PlugX com a variante PotPlayerDB.dat que usava um método de codificação atualizado e apresentava recursos adicionais de configuração de carga útil. Esse malware usou web bugs para traçar o perfil dos alvos. Os pixels de rastreamento incorporaram um objeto não visível com hiperlink no corpo do email. Uma vez ativado, o objeto recuperou um arquivo de imagem benigno do servidor controlado pelo ator para verificar a validade da conta de destino. O malware aproveitou a vulnerabilidade do potplayermini.exe para carregar o arquivo PotPlayer.dll, que continha um iniciador ofuscado que, por sua vez, executava o arquivo PotPlayerDB.dat. O arquivo DocConvDll.dll também foi utilizado como carregador dos arquivos de configuração PlugX DAT, 

Além disso, esta versão também continha ofuscação para evitar a detecção, resolvendo as funções da API durante o tempo de execução. A maioria das funções contendo a “lógica de negócios” do malware foi ofuscada com uma máquina de estado, mantendo uma variável de estado com muitas comparações na função. Isso dificultou a análise, pois os estados não são codificados como resultado de uma função.

PT41 Ataca NA

Outro notório grupo de ameaças chinês patrocinado pelo Estado, o PT41, tinha como alvo os governos estaduais norte-americanos. Os agentes de ameaças são conhecidos por usar ViewStates maliciosos para acionar a execução de código em aplicativos da Web direcionados. ViewState é um método para armazenar a página do aplicativo e os valores de controle em solicitações HTTP e para o servidor na estrutura ASP.NET. Ele foi enviado ao servidor com cada solicitação HTTP como uma string codificada em Base64 em um campo de formulário oculto. O servidor web decodifica a string e aplica transformações adicionais para descompactá-la em estruturas de dados para o servidor usar. Para evitar manipulação, o ViewState é protegido por um Código de Autenticação de Mensagem (MAC) para manter a machineKey do aplicativo confidencial.

1- Um agente de ameaças com conhecimento do machineKey pode construir (usando, por exemplo, YSoSerial.NET) um ViewState malicioso para gerar um MAC novo e válido que o servidor aceita.

2- Com um MAC tão válido, o servidor desserializará o ViewState malicioso, resultando na execução de código no servidor.

3- Depois de obter acesso inicial a um servidor voltado para a Internet, o PT41 realizou extenso reconhecimento e coleta de credenciais.

4- Os agentes de ameaças implantaram um binário BADPOTTATO ofuscado pelo ConfuserEx para abusar do escalonamento de privilégios NT AUTHORITY\SYSTEM local.

5- Depois que o PT41 escalou para privilégios NT AUTHORITY\SYSTEM, os hives de registro SAM e SYSTEM locais foram copiados para um diretório de teste para coleta e exfiltração de credenciais.

6- O PT41 também usou o Mimikatz para executar o comando lsadump::sam nos hives de registro despejados para obter credenciais armazenadas localmente e hashes NTLM.

7- Os agentes de ameaças também realizaram o reconhecimento do Active Directory carregando a ferramenta de linha de comando do Windows dsquery.exe

8- Foi usado malware avançado, como o iniciador DEADEYE, o backdoor LOWKEY e o DEADEYE.APPEND para evitar a detecção.

9- O PT41 também incorporou outra técnica anti-análise ao dividir um binário DEADEYE empacotado com VMProtect em várias seções no disco para impedir investigações forenses.

10- Os agentes de ameaças continuaram a atualizar as postagens do fórum da comunidade de tecnologia com frequência com novos resolvedores de dead drop para ajudar a manter sua infraestrutura C2 oculta. O uso dos serviços Cloudflare para comunicações C2 e exfiltração de dados aumentou substancialmente.

As fichas caíram

Em nosso encerramento anterior do mês, cobrimos o ataque cibernético que atingiu a fabricante de chips dos EUA, Nvidia Corp. Este certificado ainda pode ser aceito pelo Windows. Os agentes de ameaças parecem chantagear a Nvidia para remover o Lite Hash Rate (LHR), que prejudica a mineração de criptomoedas, de seu firmware de GPU. A Lapsus$ anunciou em sua página do Telegram que vazará mais materiais internos e detalhes de projetos de chips, a menos que o LHR seja removido e a Nvidia abra seus drivers para Macs, Linux e PCs com Windows.

Faça um teste gratuito da solução Cymulate e veja ela funcionando na prática.

Fale com nossos especialistas.

Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages