EUA: Agencia federal sofre ataque cibernético bem-sucedido, dados foram roubados

O ataque apresentou um malware único de vários estágios e um provável exploit de VPN PulseSecure.

Uma agência federal sofreu um ataque cibernético relacionado a espionagem que levou a um malware de backdoor e de vários estágios sendo descartado em sua rede.

A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) emitiu um alerta na quinta-feira, sem nomear a agência, mas fornecendo detalhes técnicos do ataque. Hackers, disse, obtiveram acesso inicial usando credenciais legítimas de logon do Microsoft Office 365 dos funcionários para entrar em um computador da agência remotamente.

“O ator da ciberameaça tinha credenciais de acesso válidas para contas de vários usuários do Microsoft Office 365 (O365) e contas de administrador de domínio”, de acordo com a CISA. “Primeiro, o agente da ameaça se conectou à conta do O365 de um usuário a partir do endereço de protocolo da Internet (IP) 91.219.236 [.] 166 e depois navegou nas páginas de um site do SharePoint e baixou um arquivo. O ator da ciberameaça se conectou várias vezes pelo Transmission Control Protocol (TCP) do endereço IP 185.86.151 [.] 223 para o servidor de rede privada virtual (VPN) da organização vítima. ”

Quanto à forma como os invasores conseguiram obter as credenciais em primeiro lugar, a investigação da CISA não revelou uma resposta definitiva – no entanto, ela especulou que poderia ter sido o resultado de uma exploração de vulnerabilidade que, segundo ela, tem se espalhado pelas redes governamentais .

“É possível que o ator cibernético tenha obtido as credenciais de um servidor VPN de agência sem patch explorando uma vulnerabilidade conhecida – CVE-2019-11510 – no Pulse Secure”, de acordo com o alerta. “CVE-2019-11510… permite a recuperação remota e não autenticada de arquivos, incluindo senhas. A CISA observou uma ampla exploração do CVE-2019-11510 em todo o governo federal. ”

O patch foi lançado em abril de 2019, mas o Departamento de Segurança Interna (DHS) em abril deste ano observou que antes que os patches fossem implantados, malfeitores conseguiam comprometer contas do Active Directory por meio da falha – então, até mesmo aqueles que têm corrigidos para o bug ainda podem estar comprometidos e são vulneráveis ​​a ataques.

Após o acesso inicial, o grupo passou a realizar o reconhecimento da rede. Primeiro, eles se conectaram a uma conta de e-mail do O365 da agência para visualizar e baixar anexos de e-mail de suporte técnico com “Acesso à intranet” e “senhas VPN” nas linhas de assunto – e descobriram o Active Directory e a chave da Política de Grupo, alterando uma chave de registro para o Grupo Política.

“Imediatamente depois, o agente da ameaça usou processos comuns de linha de comando do Microsoft Windows – conhost, ipconfig, net, query, netstat, ping e whoami, plink.exe – para enumerar o sistema e a rede comprometidos”, de acordo com a CISA.

A próxima etapa foi conectar-se a um servidor virtual privado (VPS) por meio de um cliente SMB (Windows Server Message Block), usando uma conta de identificador seguro de alias que o grupo havia criado anteriormente para fazer login; então, eles executaram plink.exe, um utilitário de administração remota.

Depois disso, eles se conectaram ao comando e controle (C2) e instalaram um malware personalizado com o nome de arquivo “inetinfo.exe”. Os invasores também configuraram um compartilhamento remoto montado localmente, que “permitiu ao ator mover-se livremente durante suas operações, deixando menos artefatos para análise forense”, observou a CISA.

Os cibercriminosos, enquanto logados como administrador, criaram uma tarefa agendada para executar o malware, que acabou sendo um dropper para cargas adicionais.

“Inetinfo.exe é um malware exclusivo de vários estágios usado para descartar arquivos”, explicou CISA. “Ele descartou os arquivos system.dll e 363691858 e uma segunda instância do inetinfo.exe. O system.dll da segunda instância do inetinfo.exe descriptografou 363691858 como binário da primeira instância do inetinfo.exe. O binário 363691858 descriptografado foi injetado na segunda instância do inetinfo.exe para criar e se conectar a um túnel nomeado localmente. O binário injetado então executou o shellcode na memória que se conectou ao endereço IP 185.142.236 [.] 198, o que resultou no download e execução de uma carga útil. ”

Ele acrescentou: “O ator da ciberameaça foi capaz de superar a proteção antimalware da agência e o inetinfo.exe escapou da quarentena”.

A CISA não especificou qual era a carga secundária – o Threatpost solicitou informações adicionais.

Enquanto isso, o grupo de ameaças também estabeleceu uma porta dos fundos na forma de um túnel SSH (Secure Socket Shell) persistente / proxy SOCKS reverso.

“O proxy permitiu conexões entre um servidor remoto controlado por um invasor e um dos servidores de arquivos da organização vítima”, de acordo com a CISA. “O proxy SOCKS reverso se comunicou por meio da porta 8100. Essa porta normalmente está fechada, mas o malware do invasor a abriu.”

Uma conta local foi então criada, que foi usada para coleta de dados e exfiltração. A partir da conta, os cibercriminosos navegaram em diretórios nos servidores de arquivos das vítimas; arquivos copiados dos diretórios pessoais dos usuários; conectou um VPS controlado pelo invasor ao servidor de arquivos da agência (por meio de um proxy SMB SOCKS reverso); e exfiltrou todos os dados usando o cliente Microsoft Windows Terminal Services.

O ataque foi corrigido – e não está claro quando ele ocorreu. A CISA disse que seu sistema de detecção de intrusão foi felizmente capaz de sinalizar a atividade, no entanto.

“A CISA tomou conhecimento – por meio do EINSTEIN, o sistema de detecção de intrusão da CISA que monitora redes civis federais – de um possível comprometimento da rede de uma agência federal”, de acordo com o alerta. “Em coordenação com a agência afetada, a CISA conduziu um compromisso de resposta a incidentes, confirmando a atividade maliciosa.”

Fonte: https://threatpost.com/feds-cyberattack-data-stolen/159541/