Hackers usam o MS OneDrive para C2 em ataques persistentes

Hackers usam o MS OneDrive para C2 em ataques persistentes. Sinais sugerem que o APT28 da Rússia, também conhecido como Fancy Bear, está por trás dos ataques, de acordo com uma nova pesquisa.

No que se acredita ser o primeiro uso conhecido da tática, um agente avançado de ameaças persistentes está aproveitando os serviços do Microsoft OneDrive para fins de comando e controle (C2) em uma sofisticada campanha de ciberespionagem destinada a altos funcionários do governo e da indústria de defesa de um nação da Ásia Ocidental.

Pesquisadores da Trellix que acompanham a campanha atribuíram um grau de confiança baixo a moderado ao APT28, também conhecido como Fancy Bear, um ator de ameaças que o governo dos EUA anteriormente vinculou ao serviço de inteligência militar da Rússia. A análise da Trellix dos dados relacionados à campanha mostra que os atores da ameaça também estão de olho nas entidades de defesa e governamentais na Polônia e em outros países do Leste Europeu.

A cadeia de infecção para a campanha APT28 de vários estágios, provavelmente observada pela Trellix, começou como muitas outras campanhas APT – com a execução de um arquivo Excel malicioso provavelmente enviado ao alvo por meio de um e-mail de phishing. O arquivo continha uma exploração para CVE-2021-40444 , uma vulnerabilidade crítica de execução remota de código em MSHTML ou “Trident”, mecanismo de navegador proprietário da Microsoft. A vulnerabilidade era uma falha de dia zero – o que significa que nenhum patch estava disponível para ela – quando a Microsoft a divulgou em setembro passado em meio a relatórios de atividade de exploração ativa.

A exploração do agente da ameaça para a falha MSHTML resultou em um arquivo malicioso de biblioteca de vínculo dinâmico (DLL) sendo executado na memória do sistema comprometido e baixando um componente de malware de terceiro estágio que a Trellix apelidou de “Graphite”. A análise do fornecedor de segurança do Graphite mostrou que ele estava usando contas do Microsoft OneDrive como um servidor C2 por meio da API do Microsoft Graph – uma interface de programação de aplicativos da Web para acessar os serviços do Microsoft Cloud. 

A Trellix descobriu que o malware Graphite em si era um executável DLL baseado na estrutura de administração remota pós-exploração de código aberto Empire e projetado para ser executado inteiramente na memória e nunca gravado em disco. O malware fazia parte de uma cadeia de infecção em vários estágios que finalmente resultou no download de um agente Empire no sistema composto e usado para controlá-lo remotamente.

Christiaan Beek, cientista-chefe da Trellix, diz que o novo mecanismo C2 do agente da ameaça usando um serviço de nuvem foi uma jogada interessante e algo que os pesquisadores da empresa não observaram antes. “Usar o Microsoft OneDrive como um mecanismo de servidor de comando e controle foi uma surpresa, uma nova maneira de interagir rapidamente com as máquinas infectadas“, diz ele. 

A tática permitiu que os invasores arrastassem comandos criptografados para as pastas da vítima. O OneDrive sincronizaria com as máquinas da vítima e os comandos criptografados seriam executados, após o que qualquer informação solicitada seria criptografada e enviada de volta ao OneDrive do invasor, diz Beek.

Laços com o APT28 da Rússia

O ataque em vários estágios e a forma como foi executado foram projetados para tornar difícil para os defensores identificarem o que estava acontecendo. Mesmo assim, as organizações com sistemas de detecção configurados corretamente devem ser capazes de detectar atividades maliciosas. “Embora todos os tipos de técnicas de vida fora da terra estejam sendo usadas para permanecer abaixo do radar, os invasores precisam se comunicar com os sistemas internamente e executar comandos que devem acionar a tecnologia XDR configurada corretamente”, diz Beek.

Documentos de atração e outras telemetrias associadas à campanha APT28 mostraram que o atacante estava interessado em alvos governamentais e militares. Um documento, por exemplo, chamava-se “parliament_rew.xlsx” e parece ter sido destinado a funcionários que trabalham para o governo do país visado. Outro tinha nome e continha texto referente aos orçamentos militares para 2022 e 2023.

Os pesquisadores da Trellix conseguiram identificar dois computadores host que foram usados ​​nos ataques do APT28. Um dos hosts tinha um endereço IP que era resolvido para a Sérvia, enquanto o outro parecia estar baseado na Suécia. A Trellix descobriu que o servidor C2 com o endereço IP sérvio foi usado para hospedar o exploit para a vulnerabilidade MSHTML e os dados de instalação para a DLL de segundo estágio. O servidor na Suécia, por sua vez, serviu como host para a estrutura do servidor Empire para controlar remotamente os agentes instalados em sistemas comprometidos. 

A análise da Trellix mostra que os preparativos para o ataque começaram em julho de 2021 e os próprios ataques aconteceram entre setembro e novembro de 2021. O momento da campanha coincidiu com um período de tensões políticas em torno da fronteira armênia e do Azerbaijão, o que significa que os ataques provavelmente foram geopoliticamente motivados , disse Trellix. O fornecedor de segurança disse que informou as vítimas dos ataques e forneceu informações sobre como remover todos os componentes de ataque conhecidos de sua rede.

Fonte: Darkreading

Veja também:

Sobre mindsecblog 1759 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. Hackers usam o MS OneDrive para C2 em ataques persistentes – Neotel Segurança Digital

Deixe sua opinião!