Rede federal dos EUA hackeada – hackers APT obtiveram acesso ao controlador de domínio
A infraestrutura de segurança cibernética e a agência de segurança dos EUA descobriram um possível ataque cibernético na rede federal dos EUA, onde os invasores comprometeram o DC da organização e possivelmente implantaram o cripto Miner, credencial Harvester.
Os hackers iranianos do APT lançaram um ataque à organização do Poder Executivo Federal Civil (FCEB) explorando a vulnerabilidade Log4Shell em um servidor VMware Horizon não corrigido.
CVE-2021-44228 (log4Shell) era uma vulnerabilidade de dia zero no Log4j , uma popular estrutura de registro Java envolvendo execução de código arbitrário e afeta uma ampla gama de produtos, incluindo o VMware Horizon.
A CISA acredita que o ataque foi iniciado por hackers apoiados pelo governo do Irã que instalaram o software de mineração de criptografia XMRig, moveram-se lateralmente para o controlador de domínio (DC), comprometeram credenciais e implantaram proxies reversos Ngrok em vários hosts para manter a persistência.
Em abril de 2022, a CISA realizou uma investigação de rotina e suspeitou de atividades APT maliciosas na rede FCEB com a ajuda do EINSTEIN, um sistema de detecção de intrusão (IDS) em todo o FCEB.
Investigação de Atividades APT
Durante a investigação, os pesquisadores encontraram tráfego bidirecional entre a rede e um endereço IP malicioso conhecido associado à exploração da vulnerabilidade Log4Shell (CVE-2021-44228) nos servidores VMware Horizon.
Como resultado, houve uma atividade HTTPS iniciada do endereço IP 51.89.181[.]64 para o servidor VMware da organização, uma análise mais aprofundada revela que o IP associado ao servidor Lightweight Directory Access Protocol (LDAP) que foi operado por ameaças atores para a implantação do Log4Shell.
“Após a atividade HTTPS, a CISA observou uma suspeita de retorno de chamada LDAP na porta 443 para este endereço IP. A CISA também observou uma consulta de DNS para us‐nation‐ny[.]cf que foi resolvida em 51.89.181[.]64 quando o servidor da vítima estava retornando esse retorno de chamada Log4Shell LDAP para o servidor dos atores.” disse no relatório da CISA .
Os pesquisadores também encontraram um retorno de chamada LDAP para o IP 51.89.181[.]64 na porta 443, após a exploração bem-sucedida da vulnerabilidade Log4Shell , os agentes de ameaças comprometeram o controlador de domínio.
Análise técnica
Atores de ameaças APT iranianos inicialmente encontraram um servidor VMware Horizon sem patch que foi implantado pela organização e estabeleceram uma conexão do endereço IP malicioso 182.54.217[.]2 com duração de 17,6 segundos.
Para evitar a detecção do Windows Defender , os invasores adicionaram a regra de exclusão ao WD usando os seguintes comandos do PowerShell:
powershell try{Add-MpPreference -ExclusionPath ‘C:\’; Write-Host ‘exclusão adicionada’} catch {Write-Host ‘falha na adição de exclusão’}; powershell -enc “carga codificada $BASE64 para baixar o próximo estágio e executá-lo”
Adicionando a regra de exclusão, os invasores escapam da verificação de vírus e baixam as ferramentas adicionais para c:\drive .
Posteriormente, uma comunicação com o servidor C2 será estabelecida e explorará a carga útil, em seguida, baixará mdeploy.text de 182.54.217[.]2/mdepoy.txt para C:\users\public\mde.ps1.
Logo após o download do arquivo.zip de 182.54.217[.]2, o mde.ps1 será apagado do disco para reduzir o risco de ser capturado pelo mecanismo AV.
Quando os pesquisadores se aprofundaram no arquivo, file.zip carregava um software de mineração de criptografia e também baixou cerca de 30 megabytes de arquivos do servidor transfer[.]sh que contém as seguintes ferramentas.
- PsExec – uma ferramenta assinada pela Microsoft para administradores de sistema.
- Mimikatz – uma ferramenta de roubo de credenciais.
- Ngrok – uma ferramenta de proxy reverso
A ferramenta Mimikatz foi usada contra o VDI-KMS para coletar credenciais e criou uma conta de administrador de domínio não autorizada por meio da qual os invasores aproveitam o RDP e obtêm controle sobre vários hosts na rede.
Mais tarde, eles desativaram manualmente o Windows Defender com a ajuda da GUI e, eventualmente, implantaram executáveis e arquivos de configuração do Ngrok.
“Os agentes de ameaças conseguiram implantar o Ngrok em vários hosts para garantir a persistência do Ngrok caso perdessem o acesso a uma máquina durante uma reinicialização de rotina.”
Logo após os invasores estabelecerem uma base profunda na rede, os invasores executaram o comando PowerShell no diretório ativo para obter acesso a todas as máquinas associadas ao domínio, e essa operação foi executada com sucesso em um momento lateral após obterem o acesso do controlador de domínio .
Por fim, os agentes de ameaças alteraram a senha do administrador local como um backup se o acesso de administrador de domínio não autorizado for detectado e encerrado.
Mitigação:
A CISA e o FBI aconselharam todas as organizações a aplicar imediatamente os patches disponíveis e seguir as mitigações:
- Instale compilações atualizadas para garantir que os sistemas VMware Horizon e UAG afetados sejam atualizados para a versão mais recente.
- Mantenha todos os softwares atualizados
- Minimize a superfície de ataque voltada para a Internet
- Use as práticas recomendadas para gerenciamento de identidade e acesso (IAM)
- Controladores de domínio de auditoria para log
- Crie uma lista de negação de credenciais comprometidas conhecidas
- Credenciais seguras restringindo onde as contas e credenciais podem ser usadas.
