Hackers rebaixam proteção do RDP para perpetrar violações

06/11/2024 mindsecblog Notícias 1

Hackers rebaixam proteção do RDP para perpetrar violações. Hackers estão rebaixando a configuração de segurança da área de trabalho remota para acesso não autorizado

Os invasores usam um ataque em vários estágios, começando com um arquivo LNK malicioso disfarçado de documento relacionado à saúde.

Esse arquivo, provavelmente enviado por e-mails de phishing, aciona comandos do PowerShell para baixar e executar cargas adicionais de um servidor remoto.

Essas cargas permitem acesso remoto ao sistema modificando as configurações de RDP e gerando uma nova conta administrativa.

Eles também empregaram o “ChromePass” para roubar senhas do navegador. Este grupo está ativo desde 2023, visando vários setores com técnicas de ataque consistentes, apesar de estar documentado publicamente.

Cadeia de infecção

A HeptaX lançou consistentemente campanhas de phishing direcionadas no ano passado, empregando diversas técnicas de atração, incluindo documentos relacionados a blockchain, pedidos de emprego e relatórios específicos do setor, para induzir as vítimas a baixar cargas maliciosas.

Depois de executadas, essas cargas usam scripts do PowerShell e do Lote para obter acesso não autorizado a sistemas comprometidos.

SOW_for_Nevrlate.pdf

O arquivo LNK inicia um script do PowerShell que busca um identificador exclusivo (UID) e estabelece uma conexão com um servidor remoto de comando e controle (C&C).

Ele cria um atalho persistente na pasta Inicialização, baixa um documento de atração para distrair o usuário e, em seguida, avalia as configurações do UAC (Controle de Conta de Usuário) do sistema.

Se o UAC estiver desabilitado ou configurado de forma insegura, ele baixará e executará um script do PowerShell de segundo estágio, que tenta desabilitar o UAC, se necessário, com força e baixa arquivos em lote adicionais para atividades mal-intencionadas adicionais.

Código para baixar e executar arquivo em lote

Inicialmente, um script em lote é executado, que copia e renomeia scripts maliciosos para diretórios do sistema, remove tarefas agendadas existentes e cria novas para acionar o próximo estágio.

Posteriormente, envolve a criação de uma nova conta de usuário administrativo com credenciais fracas, concedendo-lhe amplos privilégios, modificando as configurações do sistema para facilitar o acesso remoto e baixando e executando scripts maliciosos adicionais de um servidor remoto.

O invasor pretende atingir seu objetivo estabelecendo acesso backdoor persistente ao sistema comprometido.

Conteúdo do arquivo sysmon2

O ataque progride por vários estágios, começando com a infecção inicial e culminando no acesso remoto à área de trabalho.

O malware estabelece comunicação persistente com um servidor C2, recebe comandos e os executa no sistema comprometido.

Ele coleta informações confidenciais do sistema, incluindo credenciais do usuário, configurações de rede e software instalado.

Os invasores desabilitam o UAC, criam uma nova conta de usuário administrativo e reduzem os requisitos de autenticação para acesso remoto à área de trabalho.

Conteúdo parcial do script para fazer uma solicitação POST

Ao explorar essas vulnerabilidades, os invasores obtêm acesso não autorizado ao sistema da vítima, permitindo que eles executem atividades maliciosas, como roubo de dados, movimento lateral e comprometimento adicional.

De acordo com a CRIL, o grupo de ameaças executou vários ataques furtivos usando scripts básicos para obter acesso remoto e implantar ferramentas como o ChromePass para roubo de dados, muitas vezes aproveitando e-mails de spam como vetores de ataque iniciais.

Para mitigar essas ameaças, as organizações devem fortalecer a segurança de e-mail, implementar controles de acesso rígidos, monitorar alterações no sistema, aprimorar a segurança do RDP e implantar monitoramento no nível da rede para detectar e prevenir atividades maliciosas.

Fonte: GBHackers

Veja também: