Boletim semanal de cibersegurança 3-10 junho

LockBit ameaça Mandiant depois de vinculá-los à EvilCorp

Durante a tarde de 6 de maio, o grupo de ransomware Lockbit 2.0 anunciou em sua página de publicações na dark web o suposto compromisso da empresa de cibersegurança Mandiant e sua intenção de publicar algumas horas depois um total de 356.841 arquivos supostamente roubados da empresa. A publicação incluía um arquivo chamado «mandiantyellowpress.com.7z», que estaria relacionado ao domínio registrado no mesmo dia, mandiantyellowpress[.] com, que estava redirecionando na época para ninjaflex[.]com.

As ameaças da LockBit seguiram a publicação de mandiant de um artigo indicando que o grupo russo Evil Corp começou a usar ransomware LockBit em seus alvos para escapar das sanções dos EUA. Desde que a ameaça era conhecida, Mandiant tem afirmado em todos os momentos que não tinha provas de que algum tipo de intrusão havia ocorrido, mas indicou que eles estavam monitorando a situação. Uma vez que os dados são publicados, como relatado pela mídia Bleeping Computer que foi capaz de analisá-los, é confirmado que não teria havido nenhum tipo de compromisso.

O que eles publicaram da LockBit é uma mensagem na qual eles negam as acusações feitas pelo que eles chamam de «imprensa amarela» (referindo-se a Mandiant) sobre uma possível relação entre LockBit e Evil Corp. O grupo indica que os scripts e ferramentas para realizar ataques estão disponíveis publicamente e podem ser usados por qualquer usuário, portanto, uma semelhança entre as ferramentas usadas por dois grupos não significa que elas possam ser vinculadas a uma identidade única.

Da mesma forma, em sua mensagem eles incluem uma linha final dissociando-se de qualquer tipo de ideologia política ou serviço especial de qualquer país.

URL: https://www.bleepingcomputer.com/news/security/mandiant-no-evidence-we-were-hacked-by-lockbit-ransomware/

* * *

Symbiote: novo malware furtivo contra sistemas Linux

Pesquisadores da BlackBerry e Intezer publicaram ontem informações sobre um malware Linux que eles apelidaram de Symbiote. O malware, originalmente detectado em ataques ao setor financeiro na América Latina em novembro de 2021, destaca-se por suas capacidades altamente avançadas quando se trata de ocultar e ocultar processos.

Isso é conseguido, em parte, por não ter um executável em si mesmo, mas é uma biblioteca de objetos compartilhados que é carregada em todos os processos de execução através da política de LD_PRELOAD, após a qual fornece ao invasor funções rootkit, recursos de roubo de senha e acesso remoto.

Ao carregar em inúmeros processos, o malware pode manipular as respostas de diferentes ferramentas e funções do sistema, permitindo que usuários e pesquisadores vejam apenas uma versão tendenciosa dos resultados que estão procurando.

Para isso, ele usa, entre outros, a função Berkeley Packet Filter, observada em backdoors desenvolvidos pelo Equation Group (NSA) e que permite ocultar tráfego malicioso e determinar quais pacotes são visíveis quando um administrador tenta capturar o tráfego.

URL: https://www.intezer.com/blog/research/new-linux-threat-symbiote/

* * *

Ataques contra empresas de telecomunicações e prestadores de serviços de rede

As agências americanas NSA, CISA e FBI publicaram um aviso conjunto de segurança alertando sobre a detecção de ataques perpetrados por atores maliciosos contra empresas de telecomunicações e provedores de serviços de rede globalmente.

Conforme detalhado, esta campanha está sendo realizada explorando vulnerabilidades existentes, principalmente em dispositivos de rede, apontando um total de 16 falhas de segurança distribuídas em diferentes marcas.

O aviso também destaca que, ao garantir uma base inicial em uma organização de telecomunicações ou prestador de serviços de rede, esses atores mal-intencionados podem identificar usuários e sistemas críticos encarregados de manter a segurança da infraestrutura crítica de um país.

Em relação à atribuição dessas campanhas, o alerta não identificou um ator específico que tenha realizado essas invasões, denotando que o mesmo objetivo é instigar todas as organizações a corrigir a lista de vulnerabilidades e aplicar as medidas de mitigação previstas para evitar possíveis incidentes de segurança.

URL: https://www.cisa.gov/uscert/ncas/alerts/aa22-158a

* * *

Campanha de espionagem de longa duração pelo ator Aoqin Dragon

A equipe de pesquisadores do SentinelLabs publicou uma investigação na qual relatam a descoberta de um APT ligado a um estado, chamado Aoqin Dragon, e que estaria realizando campanhas de espionagem sem ser detectado por 10 anos.

Especificamente, este novo ator teria desenvolvido sua atividade contra organizações governamentais, educacionais e empresas do setor de telecomunicações, todas geograficamente localizadas no Sudeste Asiático.

Segundo analistas, a Aoqin Dragon teria desenvolvido três importantes mecanismos de infecção entre seus TTPs; Entre 2012 e 2015, eles usaram campanhas malspam com documentos de escritório anexados que exploravam as vulnerabilidades CVE-2012-0158 e CVE-2010-3333; entre 2016 e 2017, seu vetor de entrada consistia em ofuscar executáveis maliciosos mascarados em falsos ícones antivírus; e desde 2018, eles usam um arquivo de atalho de disco removível que, quando executado, permite a injeção de código malicioso.

Da mesma forma, Aoqin Dragon se destaca por usar dois backdoors, Heyoka e Mongall, para extrair informações e permitir a comunicação com as redes de suas vítimas.

URL: https://www.sentinelone.com/labs/aoqin-dragon-newly-discovered-chinese-linked-apt-has-been-quietly-spying-on-organizations-for-10-years/

* * *

Atualizações, PoCs e exploração ativa de vulnerabilidade de 0-day na Atlassian

Depois que a Atlassian publicou na semana passada um alerta de segurança sobre a vulnerabilidade cve-2022-26134 em seus produtos confluence Server e Data Center, a empresa publicou uma atualização na tarde de sexta-feira para corrigir a falha diante da proliferação de tentativas de explorá-la.

A Atlassian pediu aos clientes que atualizem para as versões 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 e 7.18.1 de seus produtos o mais rápido possível, e também lançou medidas temporárias de mitigação para aqueles que não conseguem atualizar seu software imediatamente.

Na mesma sexta-feira, várias façanhas fáceis de implementar foram tornadas públicas e mostraram como explorar a vulnerabilidade para criar novas contas de administrador, forçar solicitações de DNS, coletar informações e criar conchas reversas, detectando desde então inúmeras tentativas de exploração, conforme coletado pelos pesquisadores do Grey Noise.

URL: https://www.bleepingcomputer.com/news/security/exploit-released-for-atlassian-confluence-rce-bug-patch-now/