Nota: O seguinte artigo irá ajudá-lo com: Grupo de hackers russos APT29 visando diplomatas
O grupo apoiado pelo Estado por trás do ataque à cadeia de suprimentos da SolarWinds está perseguindo diplomatas que usam spear phishing para implantar uma nova variedade de malware.
Analistas de ameaças da empresa de segurança cibernética Mandiant descobriram um novo ataque cibernético APT29 mais uma vez direcionado a diplomatas e agências governamentais.
O APT29 é um grupo de espionagem cibernética que acredita-se ser patrocinado pelo Serviço de Inteligência Estrangeira da Rússia, o SVR. O APT29 também é conhecido publicamente como Nobelium pela Microsoft, disse Mandiant. O APT29 é o grupo responsável pelo ataque à cadeia de suprimentos da SolarWinds em 2021.
VEJO: Kit de contratação: cientista de dados (TechRepublic Premium)
Enquanto a Mandiant acompanha as atividades de phishing do APT29 destinadas a diplomatas em todo o mundo desde o início de 2020, os invasores deste ano estão usando duas novas famílias de malware, BEATDROP, BEACON e BOOMMIC para realizar ataques. O malware APT29 usa a popular ferramenta de gerenciamento de projetos Trello da Atlassian para comando e controle (C2), armazenando informações da vítima e recuperando cargas úteis de código de shell criptografado por AES.
“Para qualquer pessoa envolvida na política, é fundamental entender que eles podem ser alvos devido às informações que possuem, ou mesmo apenas aos contatos que podem ter”, disse Erich Kron, defensor da conscientização de segurança da empresa de treinamento em cibersegurança KnowBe4. “Em situações como as embaixadas, que atuam como solo soberano em países estrangeiros, e para os diplomatas dentro delas, as informações sobre as atividades que ocorrem na região seriam uma mina de ouro para os adversários.”
Para enganar as vítimas e fazer o download de arquivos carregados de malware, o APT29 enviou e-mails de spear phishing disfarçados de atualizações administrativas da embaixada, disse Manidant em um post no blog sobre os ataques. Para passar pelos filtros de spam, o APT29 usou endereços de e-mail legítimos de outras entidades diplomáticas e direcionou grandes listas publicamente disponíveis de funcionários da embaixada.
Os e-mails usavam o conta-gotas HTML malicioso ROOTSAW (também conhecido como EnvyScout) para entregar e decodificar arquivos IMG ou ISO, que podem ser gravados em disco e executar um arquivo .DLL malicioso que contém o downloader BEATDROP. O APT29 também está usando o downloader BEACON para fins semelhantes.
Uma vez que BEATDROP ou BEACON abrem backdoors para a rede da vítima, eles rapidamente implantam o BOOMMIC para obter acesso mais profundo ao ambiente da vítima. BOOMMIC (também chamado de VaporRage pela Microsoft), é um downloader de shellcode que se comunica usando HTTP para um servidor C2. Uma vez ativado, seu principal trabalho é baixar cargas úteis de shellcode na memória em uma máquina de destino, disse Mandiant.
BEACON é uma ferramenta multifuncional que também captura pressionamentos de tecla e capturas de tela e pode atuar como um servidor proxy. Ele também pode coletar credenciais do sistema, realizar varredura de portas e enumerar sistemas em uma rede.
Uma vez dentro da rede, os invasores podem escalar privilégios e mover-se lateralmente em poucas horas usando tíquetes Kerberos em ataques Pass the Ticket, explorando modelos de certificado mal configurados para se passar por administradores e criando certificados maliciosos para escalar diretamente de privilégios de baixo nível para o status de administrador de domínio. Certificados maliciosos também podem dar ao invasor persistência de longo prazo com o ambiente da vítima. O APT29 realiza amplo reconhecimento de hosts e do ambiente Active Directory procurando credenciais, disse Mandiant.
“Esta campanha destaca a importância de implementar uma cultura de segurança cibernética que vai além de depender de controles preventivos de primeira linha”, disse Chris Clements, vice-presidente de arquitetura de soluções da Cerberus Sentinel. “Controles como [network] segmentação, proteção proativa de sistemas e aplicativos e restringir o acesso dos usuários apenas ao que é necessário para suas funções de trabalho tornam o trabalho de um invasor muito mais difícil. O monitoramento aprofundado de atividades suspeitas e a caça a ameaças também aumentam as chances de um invasor ser rapidamente detectado e erradicado pela equipe de resposta a incidentes antes que danos generalizados possam ser causados.”
