top of page

CISA alerta AA22-277A - Impacket e CovalentStealer usados para roubar dados confidenciais

A Agência de Segurança Cibernética e de Infraestrutura (CISA) divulgou um comunicado conjunto com o Federal Bureau of Investigation (FBI) e a Agência de Segurança Nacional (NSA) sobre vários atores de APT que exfiltraram dados confidenciais de um contratado de defesa usando o Impacket e CovalentStealer. A investigação do incidente de segurança mostra que os agentes de ameaças conseguiram manter seu acesso por um ano inteiro e exfiltrar informações confidenciais.


Novas simulações de ataque para técnicas e malware usados pelos atores do APT explica detalhadamente como esses agentes de ameaças conseguiram comprometer uma organização de Defense Industrial Base (DIB).


Ataque de exfiltração de dados contra a infraestrutura crítica dos EUA


As Organizações da Defense Industrial Base (DIB) contribuem para a pesquisa, desenvolvimento e produção de sistemas de armas militares, e o governo dos EUA classificou essa indústria como infraestrutura crítica. De acordo com a CISA, vários atores de Advanced Persistent Threat (APT) violaram uma organização sem nome no DIB e mantiveram seu acesso entre janeiro de 2021 e janeiro de 2022. O acesso inicial de adversários originou-se do Microsoft Exchange Server da organização. Após o acesso inicial, os agentes de ameaças coletaram informações sobre a rede comprometida e exfiltraram dados no servidor Microsoft Exchange comprometido da vítima. Em seguida, os adversários usaram um kit de ferramentas de código aberto chamado Impacket para se mover lateralmente na rede da vítima e usaram uma ferramenta personalizada chamada CovalentStealer para exfiltrar os dados confidenciais restantes.


Durante o ataque, os atores do APT usaram redes privadas virtuais (VPN) para ocultar sua identidade e localização. A CISA ainda não atribuiu este ataque a nenhum grupo de ameaça ou estado-nação.


Validar controles de segurança


CISA, FBI e NSA recomendam que as organizações validem continuamente seus controles de segurança contra o comportamento de ameaças MITRE ATT&CK e framework. Assim recomenda-se:


  1. Selecione uma técnica ATT&CK

  2. Alinhe suas tecnologias de segurança com a técnica

  3. Teste suas tecnologias contra a técnica

  4. Analise o desempenho de suas tecnologias de detecção e prevenção

  5. Repita o processo para todas as tecnologias de segurança

  6. Ajuste seu programa de segurança

  7. Repita todo o processo para outras técnicas ATT&CK


Ferramentas e TTPs usados em espionagem cibernética e exfiltração de dados


Os atores do APT responsáveis pelo ataque de espionagem cibernética e exfiltração de dados contra a organização Defence Industrial BAS não identificada usaram as seguintes táticas, técnicas e procedimentos (TTPs) na estrutura MITRE ATT&CK:


1. Tática: Acesso inicial e persistência e escalonamento de privilégios

1.1. T1078 Contas válidas


Os agentes de ameaças obtêm acesso à API do Exchange Web Services (EWS) usando credenciais de administrador comprometidas.


2. Tática: Execução

2.1. Instrumentação de gerenciamento do Windows T1047


Os atores do APT usam o Windows Management Instrumentation (WMI) por meio do script Impacket wmiexec.py.


2.2. T1059.001 Comando e intérprete de script: PowerShell


Os adversários usaram os seguintes comandos e scripts do PowerShell em suas atividades maliciosas.


powershell add-pssnapin *exchange*;New-ManagementRoleAssignment - name:"Journaling-Logs" -Role:ApplicationImpersonation -User:<account>


Exemplo 1: atribuição da função de representação do aplicativo à conta de serviço


powershell dir -recurse -path e:\<redacted>|select fullname,length|export-csv c:\windows\temp\temp.txt


Exemplo 2: Listando e salvando mapa de pastas e diretórios


2.3. T1059.001 Comando e intérprete de script: Shell de comando do Windows


Os agentes de ameaças usaram os comandos abaixo para descobrir ativos na rede da vítima e verificar a conectividade com a Internet dos hosts comprometidos.










3. Tática: Evasão de Defesa

3.1. T1036.005 Mascaramento: corresponder ao nome ou local legítimo


Os atores do APT mudaram o nome da ferramenta de arquivamento “WinRAR.exe” para “VMware.exe” para evitar a detecção.


3.2. Remoção do Indicador T1070.004 no Host: Exclusão de Arquivo


Os adversários excluíram os arquivos que devem ser exfiltrados da rede da vítima usando o comando “del.exe” e o curinga “*.rar”.


3.3. T1497.001 Virtualização/Evasão de sandbox: verificações do sistema


Os agentes de ameaças usam o comando systeminfo para verificar se o host comprometido é uma máquina virtual.


4. Tática: Descoberta


4.1. Descoberta de configuração de rede do sistema T1016


Os atores do APT usam o comando “route print” para listar as entradas na tabela de IP local.


4.2. T1016.001 Descoberta de configuração de rede do sistema: descoberta de conexão com a Internet


Os adversários usam os comandos a seguir para verificar se o host comprometido tem acesso à Internet.


certutil -urlcache -split -f https://microsoft.com temp.html

ping -n 2 apple.com

ping -n 2 amazon.com


Exemplo 3: Comandos usados para testar a conectividade com a Internet


4.3. Descoberta de conexões de rede do sistema T1049


Os agentes de ameaças usam o comando “netstat” para exibir conexões TCP ativas na máquina da vítima.


4.4. T1057 Descoberta de Processo


Os atores do APT usam o comando “tasklist” para listar os processos em execução no host comprometido.


4.5. Descoberta de informações do sistema T1082 e virtualização T1497.001/Evasão de sandbox: verificações do sistema


Os adversários usam os comandos “systeminfo” e “ipconfig” para obter informações detalhadas sobre o host comprometido e verificar se é uma máquina virtual.


4.6. Descoberta de arquivos e diretórios T1083


Os agentes de ameaças usam o comando fornecido no Exemplo 2 para listar arquivos e diretórios no host comprometido ou em um compartilhamento de rede.


5. Tática: Movimento Lateral


5.1. T1021.002 Serviços Remotos: Compartilhamentos SMB/Windows Admin


Os atores do APT executam comandos no sistema remoto por meio do script Impacket smbexec.py.


6. Tática: Coleta


6.1. T1560.001 Dados coletados de arquivamento: arquivamento via utilitário e T1074.002 Dados preparados: armazenamento remoto de dados


Os adversários usam o utilitário de arquivamento “WinRAR” e o cmdlet “Compress-Archive” do PowerShell para compactar dados em blocos de 3 MB antes da exfiltração.


7. Tática: Comando e Controle


7.1. Transferência da Ferramenta de Entrada T1105


Os agentes de ameaças usam a ferramenta de exfiltração de dados "CovalentStealer, China Chopper webshell” ,Trojan e HyperBro (RAT) de acesso remoto para os hosts comprometidos.


7.2. Proxy T1090


Os atores do APT usam os serviços VPN/VPS “M247” e “SurfShark” para acessar a rede da vítima e ocultar sua identidade e localização.


8. Tática: Exfiltração


8.1. T1029 Programar Transferência


Os adversários exfiltram dados confidenciais apenas em determinados momentos para se misturar com o tráfego normal da rede.


8.2. T1567.002 Exfiltração sobre serviço da Web: exfiltração para armazenamento em nuvem


O CovalentStealer extrai dados confidenciais roubados para uma pasta na nuvem do Microsoft OneDrive.


Como a Ztrust ajuda você a simular Advanced Persistent Threats?


Sugerimos simular Advanced Persistent Threats para testar a eficácia de seus controles de segurança contra ataques de ransomware usando a Plataforma de Validação de Controle de Segurança Completa. Você pode testar suas defesas contra atores como: Lazarus, HAFNIUM e DEV-0586.


Nossa plataforma inclui as seguintes listas de ameaças para atores de APT que visam a Defense Industrial Base Organization :



Comece já a simular as ameaças emergentes e obtenha insights de mitigação, saiba mais, entrando em contato conosco: https://www.ztrust.com.br/agendar



9 visualizações0 comentário

Comments


bottom of page