O grupo de ataque cibernético patrocinado pelo estado conhecido como Billbug conseguiu comprometer uma autoridade de certificação digital (CA) como parte de uma ampla campanha de espionagem que se estendeu até março - um desenvolvimento preocupante no manual de ameaças persistentes avançadas (APT), alertam os pesquisadores.
Os certificados digitais são arquivos usados para assinar o software como válido e verificar a identidade de um dispositivo ou usuário para habilitar conexões criptografadas. Como tal, um comprometimento de CA pode levar a uma legião de ataques subsequentes furtivos.
“O direcionamento de uma autoridade de certificação é notável, pois se os invasores conseguissem comprometê-la com sucesso para acessar os certificados, eles poderiam usá-los para assinar malware com um certificado válido e ajudar a evitar a detecção nas máquinas vítimas”, de acordo com um relatório esta semana da Symantec. “Também pode usar certificados comprometidos para interceptar o tráfego HTTPS.”
“Isso é potencialmente muito perigoso”, observaram os pesquisadores.
Uma onda contínua de compromissos cibernéticos
Billbug (também conhecido como Lotus Blossom ou Thrip) é um grupo de espionagem baseado na China que visa principalmente vítimas no Sudeste Asiático. É conhecido pela caça de grandes animais — ou seja, ir atrás dos segredos mantidos por organizações militares, entidades governamentais e provedores de comunicações. Às vezes, ele lança uma rede mais ampla, insinuando motivações mais sombrias: em uma instância anterior, ele se infiltrou em uma operadora aeroespacial para infectar os computadores que monitoram e controlam os movimentos dos satélites.
Na última onda de atividades nefastas, o APT atingiu um panteão de agências governamentais e de defesa em toda a Ásia, em um caso infestando “um grande número de máquinas” em uma rede governamental com seu malware personalizado.
“Essa campanha ocorreu pelo menos de março de 2022 a setembro de 2022, e é possível que essa atividade esteja em andamento”, diz Brigid O Gorman, analista sênior de inteligência da equipe Symantec Threat Hunter. “O Billbug é um grupo de ameaças estabelecido há muito tempo que realizou várias campanhas ao longo dos anos. É possível que essa atividade se estenda a outras organizações ou geografias, embora a Symantec não tenha evidências disso no momento.”
Uma abordagem familiar para ataques cibernéticos
Nesses alvos, bem como na CA, o vetor de acesso inicial tem sido a exploração de aplicativos vulneráveis voltados para o público. Depois de obter a capacidade de executar o código, os agentes de ameaças instalam seus conhecidos e personalizados backdoors Hannotog ou Sagerunex antes de se aprofundar nas redes.
Para os estágios posteriores da cadeia de eliminação, os atacantes do Billbug usam vários binários vivendo fora da terra (LoLBins), como AdFind, Certutil, NBTscan, Ping, Port Scanner, Route, Tracert, Winmail e WinRAR, de acordo com o relatório da Symantec.
Essas ferramentas legítimas podem ser abusadas para vários usos doppelganger, como consultar o Active Directory para mapear uma rede, compactar arquivos para exfiltração, descobrir caminhos entre endpoints, verificar NetBIOS e portas e instalar certificados raiz do navegador - sem mencionar o download de malware adicional .
Os backdoors personalizados combinados com ferramentas de uso duplo são uma pegada familiar, tendo sido usados pelo APT no passado. Mas a falta de preocupação com a exposição pública é par para o curso para o grupo.
“É notável que o Billbug pareça não se intimidar com a possibilidade de ter essa atividade atribuída a ele, com o reaproveitamento de ferramentas que foram vinculadas ao grupo no passado”, diz Gorman.
Ela acrescenta: “O uso pesado do grupo de viver da terra e ferramentas de uso duplo também é notável e destaca a necessidade de as organizações terem produtos de segurança que possam não apenas detectar malware, mas também também reconhecer se ferramentas legítimas estão sendo usadas de maneira suspeita ou maliciosa”.
A Symantec notificou a CA não identificada em questão para informá-la sobre a atividade, mas Gorman se recusou a oferecer mais detalhes sobre sua resposta ou esforços de correção.
Embora não haja nenhuma indicação até agora de que o grupo foi capaz de comprometer os certificados digitais reais, o pesquisador aconselha: “As empresas devem estar cientes de que o malware pode ser assinado com certificados válidos se os agentes de ameaças conseguirem acesso a autoridades certificadas”.
Em geral, as organizações devem adotar uma estratégia de defesa em profundidade, usando várias tecnologias de detecção, proteção e proteção para mitigar o risco em cada ponto de uma cadeia de ataque em potencial, diz ela.
“A Symantec também aconselharia a implementação de auditoria e controle adequados do uso da conta administrativa”, observou Gorman. “Também sugerimos a criação de perfis de uso para ferramentas administrativas, pois muitas dessas ferramentas são usadas por invasores para se mover lateralmente sem serem detectados em uma rede. Em geral, a autenticação multifator (MFA) pode ajudar a limitar a utilidade de credenciais comprometidas.”
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
