Boletim semanal de cibersegurança 4-10 dezembro

Governo do catalão sofre ataque do DDoS

De acordo com o comunicado emitido pela Generalitat, o Centro de Telecomunicações e Tecnologias da Informação (CTTI) detectou na última sexta-feira um ataque cibernético que comprometeu mais de 2.000 aplicativos de computador da agência por aproximadamente 3 horas. Especificamente, o ataque sofrido foi a negação de serviço (DDoS), que consiste no colapso dos serviços, aumentando o volume de tráfego para servidores aumentarem seu tempo de processamento. Em relação à sua origem, a Generalitat indicou que as primeiras investigações indicam que poderia ser um ataque contraído através da dark web, embora no momento não haja confirmação sobre isso. Vários sites e serviços dependentes da Generalitat, como la Meva Salut, foram afetados e outros serviços como televisão catalã, TV3 ou Catalunya Ràdio também tiveram problemas técnicos. Finalmente, em um período de no máximo três horas, a situação foi controlada e a normalidade foi retomada como a própria agência já garantiu.

Emotet: novas campanhas que usam Trickbot e Cobalt Strike em suas infecções

Pesquisadores da CheckPoint publicaram uma análise do ressurgimento do Emotet. De acordo com os pesquisadores, as novas campanhas observaram o uso do Trickbot como vetor de entrada, um dos malwares mais usados, que nos últimos meses teria infectado até 140.000 vítimas em todo o mundo, com mais de 200 campanhas e milhares de endereços IP em dispositivos comprometidos. Trickbot, como Emotet, é comumente usado para eventualmente distribuir ransomware, como Ryuk ou Conti. Do CheckPoint, eles analisam essas novas campanhas onde foi observado que a Trickbot estaria distribuindo a Emotet, da qual eles apontam que teria melhorado suas capacidades com novas ferramentas como: o uso de criptografia de curva elíptica em vez de RSA, melhorias em seus métodos de achatamento do fluxo de controle ou adicionando à infecção inicial o uso de pacotes maliciosos de instalação de aplicativos Windows que imitam software legítimo. Por outro lado, deve-se notar também que os pesquisadores do Cryptolaemus detectaram nos últimos dias que a Emotet estaria instalando diretamente o Cobalt Strike nos dispositivos comprometidos, o que aceleraria o processo de infecção dando acesso imediato a movimentos laterais, roubo de dados ou distribuição de ransomware.

Vulnerabilidade rce no Windows 10 e 11

Pesquisadores de segurança da Positive Security descobriram uma vulnerabilidade remota de execução de código no Windows 10 e 11. Essa falha ocorre através do Internet Explorer 11/Edge Legacy, o navegador padrão na maioria dos dispositivos Windows, e é desencadeada através de uma injeção de argumentos no URI do manipulador padrão do Windows ms officecmd. Um invasor pode explorar essa vulnerabilidade através de um site malicioso que permite um redirecionamento para uma URL criada pelo ms-officecmd. Deve-se notar que para a exploração funcionar, as Equipes Microsoft devem ser instaladas no sistema. A Positive Security relatou a falha à Microsoft em março passado, que a descartou no início. No entanto, após o recurso dos investigadores, já era considerado uma decisão crítica. Em agosto, a Microsoft corrigiu parcialmente, permitindo-se ainda injetar argumentos.

Vulnerabilidade 0 day em Apache Log4j

Um PoC foi lançado para uma vulnerabilidade de 0 day recentemente atribuído CVE-2021-44228, de execução de código no Apache Log4j, uma biblioteca de código aberto desenvolvida em Java que permite aos desenvolvedores de software salvar e escrever mensagens de registro que são usadas em vários aplicativos de empresas em todo o mundo. Essa falha permitiria que códigos maliciosos fossem executados em servidores ou clientes de aplicativos, sendo um dos mais proeminentes aquele que executa versões Java do videogame Minecraft, manipulando as mensagens de registro e até mesmo as mensagens inseridas no chat do próprio jogo. De acordo com os pesquisadores da LunaSec, as versões Java superiores a 6u211, 7u201, 8u191 e 11.0.1 não são afetadas por este vetor de ataque. Além disso, da LunaSec indicam que os serviços em nuvem do Steam e do Apple iCloud também foram afetados. Por fim, observe que as versões apache log4j afetadas são 2.0 a 2.14.1, corrigindo essa falha de segurança na versão 2.15.0.

Análise do ator estatal russo Nobelium

Pesquisadores da mandiantes publicaram um artigo detalhando operações realizadas por Nobelium, um ator associado ao Serviço russo de Inteligência Estrangeira (SVR). A  Mandiant apontou que entre as táticas usadas por esse grupo para obter acesso inicial à infraestrutura da vítima destacam-se: o uso de credenciais comprometidas em campanhas anteriores de malware onde o ladrão CRYPTBOT foi usado, o compromisso dos provedores de serviços em nuvem (CSP) e o abuso de notificações push (MFA). Uma vez obtido o primeiro acesso, o ator tenta alcançar persistência e aumentar privilégios usando o protocolo RDP, usando WMI e PowerShell para distribuir o backdoor BEACON na rede da vítima. Este backdoor foi usado mais tarde para instalar uma nova ferramenta que eles chamaram de CEELOADER, um download que se comunicaria via HTTP com o C2 do Nobelium, e que distribui Cobalt Strike. Além disso, a Mandiant destacou o uso de serviços residenciais de proxies IP para autenticar nos sistemas da vítima e o uso do WordPress comprometido, onde hospedam as cargas que levarão ao segundo estágio da cadeia de infecção. Da mesma forma, da Agência Nacional francesa de Cibersegurança (ANSSI) eles emitiram uma declaração onde especificam que desde fevereiro passado várias campanhas contra organizações francesas do ator russo foram detectadas.