Boletim semanal de cibersegurança 10-17 setembro

S.O.V.A. – Novo Trojan bancário para Android

Os pesquisadores da Threat Fabric descobriram a existência, pelo menos desde o início de agosto, de um novo Trojan bancário para Android que eles chamaram de S.O.V.A., cujo principal objetivo seria a coleta de informações pessoalmente identificáveis (PII) das vítimas. É um Trojan que contém funcionalidades comuns neste tipo de malware, como a capacidade de realizar ataques de sobreposição, keylogging ou manipulação de notificações; mas também inclui outras funcionalidades menos comuns, como o roubo de cookies de login, o que permitiria aos invasores acessar logins válidos dos usuários sem precisar saber suas credenciais. No momento, o Trojan está em fase de desenvolvimento, e os autores estariam anunciando-o em fóruns subterrâneos com a intenção de poder testá-lo em vários dispositivos e implementar as melhorias necessárias. Segundo os pesquisadores, adaptações do malware já teriam sido detectadas, disponíveis para a representação de instituições bancárias nos Estados Unidos e Espanha fundamentalmente, embora em seu anúncio os autores ofereçam a possibilidade de adaptá-lo contra outras entidades de acordo com as necessidades do comprador.

Mais: https://www.threatfabric.com/blogs/sova-new-trojan-with-fowl-intentions.html

Vermilion Strike: versão não oficial de um Cobalt Strike Beacon

Pesquisadores da Intezer descobriram em agosto passado uma versão não oficial de um Cobalt Strike Beacon para sistemas Linux e Windows. Este Beacon, chamado Vermilion Strike, seria desenvolvido do zero por agentes de ameaças desconhecidos, sem compartilhar código com a versão oficial, e seria usado ativamente contra organizações em todo o mundo. O Vermilion Strike usa o mesmo protocolo do Cobalt Strike para se conectar aos servidores de Comando e Controle e tem recursos de acesso remoto, como carregar arquivos, executar comandos e modificar arquivos. Essa ameaça está em vigor desde agosto e seria usada em ataques direcionados contra empresas de telecomunicações, agências governamentais, tecnologia e instituições financeiras em todo o mundo. O objetivo final destes parece focar no trabalho de ciberespionagem.

Mais: https://www.intezer.com/blog/malware-analysis/vermilionstrike-reimplementation-cobaltstrike/

Operação Harvest: campanha de longa duração da ciberespionagem

Pesquisadores da McAfee publicaram a análise de uma operação de longo prazo que eles chamaram de «Harvest». A descoberta dessa atividade começou com a análise de um incidente de malware que foi expandido para ser configurado como um ataque cibernético de grande sofisticação que teria durado vários anos. O ator de ameaças iniciou suas incursões violando o servidor web da vítima, gerando persistência e instalando ferramentas que seriam usadas para coleta de informações, elevação de privilégios, movimentos laterais e execução de arquivos. Entre as ferramentas utilizadas estão PSexec, Procdump, Mimikatz, RottenPotato e BadPotato.  Além de usar um arsenal bastante grande de ferramentas, o agente de ameaças usou o malware PlugX e Winnti para aumentar os privilégios e obter um backdoor na infraestrutura da vítima. Com base nas análises realizadas, os pesquisadores estimam que o ataque foi realizado por um ator de origem chinesa que compartilha ligações com APT27 e APT41.  Seu objetivo principal teria sido manter sua presença dentro da infraestrutura da vítima para exfiltrar informações de inteligência para fins comerciais ou militares.

Mais: https://www.mcafee.com/blogs/enterprise/mcafee-enterprise-atr/operation-harvest-a-deep-dive-into-a-long-term-campaign/

Detalhes adicionais sobre as campanhas de exploração do 0 day em Microsoft MSHTML

Pesquisadores da Microsoft publicaram uma análise detalhada dos primeiros ataques detectados nos quais a vulnerabilidade CVE-2021-40444 teria sido explorada, bem como sua potencial atribuição. As primeiras campanhas datam de agosto, com e-mails sob o pretexto de acordos legais ou contratuais em que documentos maliciosos estavam hospedados em sites legítimos de compartilhamento de arquivos para a distribuição de carregadores com balizas Cobalt Strike. A carga final não foi marcada por sistemas Windows como baixado de uma fonte externa, por isso foi executada diretamente, sem interação do usuário, evidenciando assim a exploração da vulnerabilidade. A autoria desses ataques iniciais, segundo a Microsoft, aponta para o DEV-0365, um grupo em desenvolvimento sob o qual um conjunto de atividades fraudulentas associadas à infraestrutura cobalto Strike é agrupado. No entanto, eles também indicam que parte da infraestrutura que hospedou os documentos maliciosos iniciais pode estar relacionada com cargas de BazarLoader e Trickbot, atividade associada ao ator de ameaças DEV-0193 (também conhecido como UNC1878 ou Wizar Spider).  Apesar desses vínculos com atores genéricos, da Microsoft eles têm desejado diferenciar essa atividade de exploração da vulnerabilidade para um novo grupo chamado DEV-0413, uma vez que indicam que não estaríamos enfrentando campanhas genéricas, mas que os e-mails de phishing estavam muito alinhados com as operações comerciais das organizações que foram atacadas. Além da investigação da Microsoft, nos últimos dias, pesquisadores de segurança no Twitter também têm alertado para a detecção de campanhas de spam que estariam distribuindo o Trojan Ramint explorando o mesmo bug.

Mais:  https://www.microsoft.com/security/blog/2021/09/15/analyzing-attacks-that-exploit-the-mshtml-cve-2021-40444-vulnerability/

OMIGOD: Vulnerabilidades na cadeia de fornecimento de nuvens

A equipe de pesquisadores da Wiz descobriu recentemente uma série de vulnerabilidades no agente de software Open Management Infrastructure (OMI), incorporado em muitos dos produtos mais populares do Azure. Especificamente, são quatro vulnerabilidades classificadas como CVE-2021-38647 CVSS 9.8, CVE-2021-38648 CVSS 7.8, CVE-2021-38645 CVSS 7.8 e CVE-2021-38649 CVSS 7.0, coletivamente referido como «OMIGOD». O risco está nos clientes que usam máquinas virtuais Linux na nuvem, uma vez que o agente OMI é executado automaticamente e sem o conhecimento dos usuários ao habilitar determinados serviços no Azure (por exemplo, Log Analytics, Diagnósticos, Gerenciamento de Configuração, etc.), para que essas vulnerabilidades no OMI possam permitir que um potencial invasor aumente para privilégios raiz e execute códigos maliciosos remotamente. A Microsoft lançou a versão corrigida do OMI 1.6.8.1., por isso é aconselhável atualizá-lo o mais rápido possível, já que de acordo com os pesquisadores milhares de clientes do Azure e milhões de pontos finais seriam afetados.

Mais: https://www.wiz.io/blog/secret-agent-exposes-azure-customers-to-unauthorized-code-execution