Boletim semanal de cibersegurança março 20-26

Análise do novo grupo de ciberespionagem SilverFish

A equipe de Inteligência de Ameaças Prodaft (PTI) descobriu um grupo muito sofisticado de cibercriminosos chamado SilverFish, que opera exclusivamente contra grandes empresas e instituições públicas em todo o mundo, com foco na União Europeia e nos Estados Unidos. A SilverFish usaria métodos de gerenciamento modernos, ferramentas sofisticadas e até uma sandbox própria para testar malware contra sistemas, usando diferentes soluções corporativas AV e EDR. O grupo estaria usando domínios comprometidos, que usam principalmente o WordPress, para redirecionar o tráfego para seu servidor de Command & Control (C2). Para fazer isso, o SilverFish cria novos subdomínios para dificultar que o proprietário do domínio descubra que o domínio está sendo explorado. De acordo com a investigação, o grupo SilverFish foi ligado aos ataques da cadeia de suprimentos sofridos pela SolarWinds. Por outro lado, a infraestrutura do grupo teria revelado links para vários IoCs anteriormente atribuídos ao TrickBot. Finalmente, os pesquisadores afirmam que os principais objetivos da SilverFish provavelmente é realizar um reconhecimento e filtrar dados sobre os sistemas vítimas e suas operações.

Mais: https://www.prodaft.com/m/uploads/SilverFish_TLPWHITE.pdf

Energia da Shell afetada pelo incidente da Accellion FTA

A companhia petrolífera holandesa Shell, presente em 70 países e membro da Fortune 500, emitiu um comunicado na semana passada admitindo ter sofrido um incidente de segurança que resultou no vazamento de documentos e arquivos confidenciais. Este incidente decorre do comprometimento de terceiros em dezembro de 2020, em especial do colaborador de TI Accellion. Várias vulnerabilidades de Zero-Day no software de compartilhamento de arquivos da empresa, chamado Accellion FTA, foram ativamente exploradas por atores de ameaças para distribuir malware e exfiltrar documentos hospedados no sistema. De acordo com a Shell, os invasores não conseguiram acessar a infraestrutura digital da entidade quando o software de troca isolado de seus servidores principais foi encontrado. Arquivos vazados incluem informações sobre as subsidiárias e parceiros do grupo, bem como informações pessoais. Esses dados ainda não foram divulgados publicamente na web mantidos pelos operadores do ransomware Cl0p, onde outras vítimas do incidente, como Kroger ou Singtel, viram expostos seus arquivos comprometidos.

Mais: https://www.shell.com/energy-and-innovation/digitalisation/news-room/third-party-cyber-security-incident-impacts-shell.html

Vulnerabilidades no MobileIron MDM

O pesquisador de segurança da Optiv Matt Burch lançou três vulnerabilidades no MobileIron MDM que, se juntadas, podem levar a violações de contas de usuários.

• A primeira falha (CVE-2020-35137) poderia permitir que os invasores descobrissem o ponto final de autenticação MobileIron de uma organização porque o aplicativo móvel Mobile@Work armazena a API codificada.
• A segunda vulnerabilidade (CVE-2020-35138) permitiria que os pedidos de autenticação do MobileIron fossem construídos e, sob certas circunstâncias, capturassem credenciais usando um ataque MITM.
• O último (CVE-2021-3391) permitiria que os invasores realizassem ataques de enumeração do usuário.

Embora o MobileIron ainda não tenha lançado atualizações que corrijam esses bugs, ele forneceu uma série de recomendações para mitiga-los. A Optiv também publicou no GitHub uma ferramenta para testar essas falhas de segurança no MobileIron.

Mais: https://www.optiv.com/explore-optiv-insights/source-zero/mobileiron-mdm-contains-static-key-allowing-account-enumeration

Vulnerabilidades graves no OpenSSL

A equipe do OpenSSL emitiu um alerta sobre duas vulnerabilidades de alta gravidade, listadas como CVE-2021-3449 e CVE-2021-3450. OpenSSL é uma biblioteca de software amplamente usada para criar aplicativos de rede e servidores que precisam estabelecer comunicações seguras. Por um lado, a vulnerabilidade CVE-2021-3449 poderia causar uma falha de negação de serviço (DoS), devido ao desvio de um ponteiro NULL que afeta apenas instâncias de servidores, não clientes. Esse problema foi relatado à entidade em 17 de março de 2021 pela Nokia, sendo a solução desenvolvida por Peter Kostle e Samuel Sapalski da mesma empresa. Por outro lado, a vulnerabilidade CVE-2021-3450 aborda um erro de validação de certificado da Autoridade de Certificação (CA), que afeta tanto as instâncias do servidor quanto do cliente. O bug foi descoberto em 18 de março pela equipe de Akamai e a solução foi desenvolvida por Tomá-Mráz. Ambas as vulnerabilidades são corrigidas na versão 1.1.1.1k do OpenSSL, com a versão 1.0.2 não afetada por esse problema.

Mais: https://www.openssl.org/news/secadv/20210325.txt

Purple Fox adquire recursos de worm e infecta servidores Windows com SMB

Os pesquisadores da Guardicore divulgaram um relatório sobre a capacidade de worms recentemente adquirido pelo malware Purple Fox, infectando servidores Windows através de ataques de força bruta contra serviços de SMB vulneráveis, expostos à Internet sobre a porta 445. Se a autenticação for bem sucedida, a Purple Fox cria um serviço chamado AC0X (onde x é um inteiro de 0 a 9) que baixa o pacote de instalação msi de um dos servidores HTTP da sua botnet, que tem mais de dois mil servidores comprometidos. Este novo vetor de entrada, observado desde o final da década de 2020, convive com técnicas anteriores de infecção da Purple Fox, como explorar vulnerabilidades do navegador da Web ou usar campanhas de phishing por e-mail.

Mais: https://www.guardicore.com/labs/purple-fox-rootkit-now-propagates-as-a-worm/