Hackers usam phishing para atacar a cadeia de suprimentos da COVID-19

Hackers usam phishing para atacar a cadeia de suprimentos da COVID-19. Recomenda-se que as empresas estejam vigilantes e permaneçam em alerta máximo durante esse período. 

No início da pandemia COVID-19, o IBM Security X-Force  criou uma força-tarefa de inteligência de ameaças dedicada a rastrear ameaças cibernéticas COVID-19 contra organizações que estão mantendo a cadeia de fornecimento de vacinas em movimento. Como parte desses esforços, a equipe descobriu recentemente uma campanha global de phishing direcionada a organizações associadas a uma COVID-19 “cold chain” (cadeia fria). A cold chain é um componente da cadeia de abastecimento de vacinas que garante a preservação segura das vacinas em ambientes com temperatura controlada durante o armazenamento e transporte.

A análise da equipe da IBM indica que essa operação calculada começou em setembro de 2020. A campanha de phishing COVID-19 se estendeu por seis países e organizações-alvo provavelmente associadas ao Gavi, o programa Cold Chain Equipment Optimization Platform (CCEOP)  da The Vaccine Alliance , que será explicada com mais detalhes à frente. Embora não tenha sido possível estabelecer uma atribuição firme para esta campanha, o direcionamento preciso de executivos e organizações globais importantes detém as marcas registradas em potencial de ataques Estado-nação.

A notícia do blog da IBM traz alguns detalhes da análise do IBM Security X-Force dessa atividade e incluem:

  • The Cover Story – O adversário se passou por um executivo de negócios da Haier Biomedical, uma empresa membro credível e legítima da cadeia de fornecimento de vacinas COVID-19 e fornecedora qualificada para o programa CCEOP. A empresa é supostamente a única fornecedora de cold chain completa do mundo. Disfarçado como este funcionário, o adversário enviou e-mails de phishing para organizações que se acredita serem provedores de suporte material para atender às necessidades de transporte dentro da COVID-19 cold chain. A equipe avaliou que o objetivo desta campanha de phishing COVID-19 pode ter sido coletar credenciais, possivelmente para obter futuro acesso não autorizado a redes corporativas e informações confidenciais relacionadas à distribuição da vacina COVID-19.
  • Os Alvos – Os alvos incluíram a Direção-Geral da Fiscalidade e da União Aduaneira da Comissão Europeia, bem como organizações nos sectores da energia, produção, criação de sites e software e soluções de segurança na Internet. São organizações globais sediadas na Alemanha, Itália, Coréia do Sul, República Tcheca, grande Europa e Taiwan.
  • Como – e-mails de spear-phishing foram enviados para executivos selecionados em vendas, compras, tecnologia da informação e posições financeiras, provavelmente envolvidos nos esforços da empresa para apoiar uma cold chain de vacinas. Também identificamos casos em que essa atividade se estendeu por toda a organização para incluir páginas de ajuda e suporte de organizações específicas.

O IBM Security X-Force seguiu os protocolos de divulgação responsável e notificou as entidades e autoridades apropriadas sobre esta operação direcionada.

Alerta para a Cadeia de Abastecimento COVID-19

O IBM Security X-Force recomenda que as empresas da cadeia de suprimentos COVID-19 – da pesquisa de terapias, fornecimento de assistência médica à distribuição de uma vacina – estejam vigilantes e permaneçam em alerta máximo durante esse período. Os governos já alertaram que as entidades estrangeiras provavelmente tentarão realizar espionagem cibernética para roubar informações sobre vacinas. O DHS CISA está emitindo um alerta encorajando as organizações associadas ao armazenamento e transporte de uma vacina a revisar esta pesquisa e as melhores práticas recomendadas para permanecerem vigilantes.

Spoofing calculado para comprometer a cadeia de frio COVID-19

O IBM Security X-Force descobriu alvos em vários setores, governos e parceiros globais que oferecem suporte ao programa CCEOP . O CCEOP foi lançado por Gavi, The Vaccine Alliance juntamente com o Fundo das Nações Unidas para a Infância (UNICEF) e outros parceiros em 2015. Seu objetivo é fortalecer as cadeias de abastecimento de vacinas, otimizar a equidade de imunização e garantir uma resposta médica ágil a surtos de doenças infecciosas . Várias classes de medicamentos, especialmente vacinas, requerem armazenamento e transporte em ambientes com temperatura controlada para garantir sua preservação segura.

A iniciativa CCEOP está naturalmente acelerando os esforços para facilitar a distribuição de uma vacina COVID-19. Uma violação em qualquer parte desta aliança global pode resultar na exposição de vários ambientes de computação de parceiros em todo o mundo.

Os e-mails de phishing falsificados parecem ter se originado de um executivo de negócios da Haier Biomedical, uma empresa chinesa que atualmente atua como fornecedora qualificada para o programa CCEOP, em coordenação com a Organização Mundial da Saúde (OMS), UNICEF e outras agências da ONU. É altamente provável que o adversário tenha escolhido estrategicamente se passar pela Haier Biomedical porque ela é considerada a única fornecedora de cold chain completa do mundo. Da mesma forma, o funcionário da Haier Biomedical que supostamente está enviando esses e-mails provavelmente estaria associado às operações de distribuição da cold chain da Haier Biomedical com base em sua função, que está listada no bloco de assinatura de e-mail.

Não está claro na análise se a campanha de phishing do COVID-19 foi bem-sucedida. No entanto, o papel estabelecido que a Haier Biomedical atualmente desempenha no transporte da vacina e seu provável papel na distribuição da vacina COVID-19 aumenta a probabilidade de os alvos pretendidos se envolverem com os emails recebidos sem questionar a autenticidade do remetente.

Global Targeting

Dada a especialização e distribuição global das organizações visadas nesta campanha, é altamente provável que o adversário esteja intimamente ciente dos componentes e participantes críticos da cold chain.

  • European Commission’s Directorate-General for Taxation and Customs Union – A Direção-Geral é responsável por promover a cooperação em matéria aduaneira e fiscal em toda a UE. Ele mantém vínculos diretos com várias redes governamentais nacionais e está associado ao comércio e à regulamentação. Ter como alvo esta entidade pode servir como um ponto único de compromisso, impactando vários alvos de alto valor nos 27 estados membros da União Europeia e além.
  • Setor de energia – Os alvos de spear phishing incluem empresas envolvidas na fabricação de painéis solares. Uma das maneiras pelas quais as vacinas são mantidas resfriadas em países onde a energia confiável não é possível é usando refrigeradores de vacinas alimentados por painéis solares. O comprometimento dessas tecnologias pode resultar em roubo de propriedade intelectual ou roubo e venda de contêineres de remessa de vacinas em mercados negros em todo o mundo. A segmentação também incluiu empresas associadas à petroquímica. Entre os principais componentes da cold chain está o uso de gelo seco, que é um subproduto da produção de petróleo.
  • Setor de TI – Entre os alvos estavam uma empresa sul-coreana de desenvolvimento de software e uma empresa alemã de desenvolvimento de sites. Este último oferece suporte a vários clientes associados a fabricantes de produtos farmacêuticos, transporte de contêineres, biotecnologia e fabricantes de componentes elétricos que permitem a navegação e comunicações marítimas, terrestres e aéreas.

Quem está provavelmente por trás desses ataques?

Embora a atribuição seja atualmente desconhecida, o direcionamento preciso e a natureza das organizações direcionadas específicas apontam potencialmente para a atividade de estado-nação. Sem um caminho claro para um saque, é improvável que os cibercriminosos devotem o tempo e os recursos necessários para executar uma operação calculada com tantos alvos interligados e globalmente distribuídos. Da mesma forma, o insight sobre o transporte de uma vacina pode representar uma mercadoria quente do mercado negro, no entanto, o insight avançado sobre a compra e movimentação de uma vacina que pode impactar a vida e a economia global é provavelmente uma nação de alto valor e alta prioridade como alvo de ataques estado-nação.

No início de 2020, o IBM Security X-Force descobriu atividades relacionadas ao direcionamento de uma cadeia de suprimentos COVID-19 PPE global . Da mesma forma, como a competição global corre por uma vacina, é altamente provável que a cold chain seja um alvo atraente que estará no topo das listas de requisitos de coleta nacionais em todo o mundo.

Recomendações aos defensores

O IBM Security X-Force recomenda às organizações aumentarem sua prontidão cibernética:

  • Crie e teste planos de resposta a incidentes para fortalecer a preparação e prontidão da sua organização para responder no caso de um ataque.
  • Compartilhe e ingira informações sobre ameaças. As iniciativas e parcerias de compartilhamento de ameaças são essenciais para ficar alerta sobre as ameaças e táticas de ataque mais recentes que afetam seu setor. 
  • Avalie seu ecossistema de terceiros e avalie os riscos potenciais introduzidos por parceiros de terceiros. Confirme se você tem monitoramento robusto, controles de acesso e padrões de segurança que os parceiros terceirizados precisam obedecer.
  • Aplique uma abordagem de zero trsut à sua estratégia de segurança. À medida que os ambientes continuam a se expandir, o gerenciamento de acesso com privilégios torna-se fundamental para garantir que os usuários tenham acesso apenas aos dados essenciais para seu trabalho. (Veja: Microssegmentação e Zero Trust protege ativos críticos)
  • Use a autenticação multifator (MFA) em sua organização. O MFA funciona como um fail-safe se um ator mal-intencionado obteve acesso às suas credenciais. Como última linha de defesa, o MFA oferece uma segunda forma de requisito de verificação para acessar uma conta.
  • Realize treinamentos educacionais regulares sobre segurança de email para que os funcionários permaneçam alertas sobre táticas de phishing e estejam familiarizados com as práticas recomendadas de segurança de email .
  • Use as ferramentas Endpoint Protection and Response para detectar e evitar que ameaças se espalhem pela organização com mais rapidez.

Indicadores de compromisso (IOCs)

A IBM X-Force divulgou também Indicadores de Compromisso que podem ser utilizados pelas empresas para fortalecerem seus sistemas de proteção:

Arquivos HTML maliciosos: RFQ – UNICEF CCEOP and Vaccine Project – Copiar (#). Html

Hashes SHA256
d32b4793e4d99bb2f9d4961a52aee44bbdba223699075ed40f6a6081e9f1e6b4
ace86e8f5d031968d0c9319081a69fa66ce798e25ec6bbd23720ee570651aa04
7f53eca4a3e083ad28c8d02862bc84c00c3c73a9d8b7082b7995f150713d4c51
e3de643f3acebf1696a2b275f4ab1d0bacb5a8ba466ee8edbaaffaaa44cd2f10
a8c42db5ccddbde5b17ce3545189329a33acfdd4a8b9aff0c7e4294709b60af6
07dbe854a34e61349adcc97dd3e2eb5a9158e02568bae3e2aae3859aeeb5b8a9
7898d4596b6125129698866dbfa1a71d069aee3fd84ecb43343c3bf377a7abe2
7fc47e4fdce42b032b8ad0438cb5c76ed42a36d8c6a3e16d42dd0b69f49f33bd
83f8934fadccbaaa8119cd542382fbb9b97dfd196ef787b746ccaaf11f1d444e
6126052b0b200e04ce83a3fa470efee6ba82882674ebcc46c326b0a6c7fbfab4
75768be2e98b8010256f519a19a2a47d8983686389b2eeab300aca063b229be5
b98984a7bf669518b074ef1c8fc4240e4ad6f4a2ccc80a7940a0b56150809e37
33c44f32de3153d7705371c4a0c8d695a4e4eb22b4c4f2f3bda519631efb09af
a90056d8d0853f54dec3c8738fbcea6185f87aae6102cff2c0e1def49ccde977
68f4e8b58367ae1d0f8c392b43f459b1d942faf979953233a104cd74944b88f4
0ec6a1a0b353c672307220fe69ca4c3be6e516505e1f16b5bb8f3b55adaa0c0e
61e7f48f41414d3c945b7317023ca27e5d3f011b0a2e16354641748cc0f9df8e
0ac984f340a2903228b17e28c3a0f4507f5fc780bfe6505f196d2b92feccfab8
9143c2499a1cb2fb4e86ba6f9552f752358d8c8b635376aa619305431a3eec50
49468e2cbaab71a1035f45ef1d4a7cd791e2d5c2bbbfc9d29249d64f40be9aa4
8dc052382d626a2b1fb9181bdc276858386098e1919276c682a0a2b397dab80b
61bae857955c5cabf20119a918a0ebd83cbe9a34ebc6ee628144d225ab0867df
93643badb18f8dccba1eae3d0a44e8a91d4646cb4d1d4b61e234bf7edc58969c
c22ec0725f45221e477c9966a32b8faadd3e320c278043e57252903be89664cc
d5cd18bd27b7525d5e240d5dca555844ec721f8f4be224b91c047b827b7e5529
3e6b7d3055b50c2fd65231d1f757e3f0a6a1dbd803601d2e4223ace4d2bc1198
d32b4793e4d99bb2f9d4961a52aee44bbdba223699075ed40f6a6081e9f1e6b4
28511c50efe2fc02f7a437864e48f8c2983637507c2f8d8773e32ed9a420c895

 URLs C2

hxxps: //e-mailer.cf/next [.] php

hxxps://e-mailer.ga/next[.]php

hxxps: //nwa-oma2.ml/next [.] php

hxxps: //routermanager.ga/next [.] php

hxxps: //routermanager.gq/next [.] php

hxxps: //routermanager.ml/next [.] php

hxxps: //routermanagers.cf/next [.] php

hxxps: //routermanagers.ga/next [.] php

hxxps: //routermanagers.gq/next [.] php

hxxps: //routermanagers.ml/next [.] php

hxxps: //serverrouter.cf/next [.] php

hxxps: //serverrouter.ga/next [.] php

hxxps: //serversrouter.cf/next [.] php

hxxps: //serversrouter.gq/next [.] php

hxxps: //nwa-oma.ml/next [.] php

Endereços de e-mail do remetente

yongbinxu@haierbiomedical[.]com

Endereços DNS SOA

rahim[@]protonmail[.]com

kilode [@] cock.li.

URLs Relacionados Adicionais

hxxps: // mailerdeamon [.] cf

hxxps: // mailerdeamon [.] ga

hxxps: // mailerdeamon [.] gq

hxxps: // mailerdeamon [.] ml

hxxps: // mailerdeamon [.] tk

hxxps: // routermanager [.] tk

hxxps: // routermanagers [.] tk

hxxps: // serverrouter [.] tk

 

Fonte: IBM Security X-Force 

 

Veja também:

Sobre mindsecblog 1765 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. Remote Work: Seu chefe é sua maior ameaça cibernética
  2. Hackers vazam dados da Embraer após ataque de ransomware

Deixe sua opinião!