Resumo de inteligência de ameaças
Após a divulgação do Apache da vulnerabilidade de execução remota de código Log4j (CVE-2021-44228), os agentes de ameaças patrocinados pelo estado iraniano PHOSPHORUS (APT35, Charming Kitten) e Nemesis Kitten foram quase imediatamente observados tentando explorar a vulnerabilidade usando a exploração JNDI de código aberto kits.
Em uma campanha de ataques recentemente identificada pelo PHOSPHORUS, os pesquisadores da Check Point observaram uma nova estrutura baseada em PowerShell, chamada de CharmPower, usada para estabelecer persistência, coletar dados e executar comandos.
PHOSPHORUS e Nemsis Kitten são suspeitos de grupos de Ameaça Persistente Avançada (APT) patrocinados pelo estado iraniano. Durante a pesquisa do RiskIQ para esta campanha, descobrimos que a infraestrutura C2 usada pelo PHOSPHORUS nos ataques CharmPower está ligada à atividade anterior da exploração Nemesis Kitten Log4j.
Pesquisadores de segurança encontraram evidências de que grupos patrocinados pelo estado, bem como o grupo por trás da família de ransomware Khonsari, estão explorando a vulnerabilidade Log4j.
Em um relatório, Martin Zugec, da Bitdefender, escreveu que viu ataques contra sistemas que executam o sistema operacional Windows. Esses ataques estavam tentando implantar Khonsari.
Zugec disse ao ZDNet que o Khonsari é um ransomware relativamente novo e considerado básico – comparado à sofisticação dos grupos profissionais de ransomware como serviço.
“Provavelmente, é um agente de ameaças que está experimentando esse novo vetor de ataque. No entanto, isso não significa que agentes mais avançados não estejam explorando a vulnerabilidade do Log4j; eles certamente estão”, explicou Zugec. “Em vez de procurar o caminho mais curto para a monetização, eles usarão essa janela de oportunidade para obter acesso às redes e começar a se preparar para um ataque maior em grande escala”.
“Se você ainda não fez o patch, pode já ter convidados inativos e não convidados em sua rede”, acrescentou Zugec.
A Cado Security divulgou seu próprio relatório sobre o ransomware, observando que Khonsari “pesa apenas 12 KB e contém apenas a funcionalidade mais básica necessária para realizar seu objetivo de ransomware”.
“Seu tamanho e simplicidade também são um ponto forte; no momento em que executamos o malware dinamicamente, ele não foi detectado pelo antivírus integrado do sistema”, explicou Matt Muir, da Cado.
CTO Security CTO Chris Doman disse que a distribuição de Khonsari era limitada, e o servidor que originalmente entregou o ransomware agora está servindo um backdoor mais genérico.
“Como outros notaram, as informações de contato na nota de ransomware provavelmente são falsas e possivelmente até uma bandeira falsa. A Microsoft informou que viu o CobaltStrike entregue – um backdoor favorecido por gangues de ransomware direcionadas . a equipe do ransomware LockBit provavelmente está procurando explorar a vulnerabilidade também”, disse Doman.
O especialista em ransomware, Brett Callow, chamou Khonsari de “ransomware de nível de derrapagem”, mas observou que é seguro assumir que outros atores que tentam explorar essa vulnerabilidade serão mais avançados.
“Nem todos serão gangues de ransomware. Atores de ameaças de todos os tipos estão tentando encontrar maneiras de usar o Log4j a seu favor”, disse Callow.
O cientista-chefe da McAfee Enterprise e FireEye, Raj Samani, disse ao ZDNet que a maioria das cargas que atacam o Log4j são predominantemente incômodos. Mas a facilidade com que o Khonsari pode ser implantado – e a prevalência de sistemas vulneráveis - significa que as cargas úteis podem se tornar mais destrutivas.
“Esperamos que os sistemas não corrigidos continuem a ser explorados com alta probabilidade de ransomware como uma carga maliciosa”, disse Steve Povolny, chefe de pesquisa de ameaças avançadas da McAfee Enterprise e FireEye.
Os servidores da Web são os sistemas mais comumente atacados no momento porque são fáceis de explorar e têm um bom retorno sobre o investimento, disse Marc-Étienne Léveillé, da ESET. Ele acrescentou que nas próximas semanas “provavelmente descobriremos outro software usando o Log4j que seja vulnerável”.
Os pesquisadores de segurança já estão vendo grupos mais sofisticados explorando a vulnerabilidade. Adam Meyers, vice-presidente sênior de inteligência da CrowdStrike, disse que sua equipe observou o ator Nemesis, com sede no Irã e patrocinado pelo estado, implantar um arquivo de classe em um servidor que poderia ser acionado pelo Log4J.
“A CrowdStrike já havia observado Nemesis Kitten tentar ataques disruptivos e destrutivos”, acrescentou Meyers.
O pesquisador sênior de ameaças da Sophos, Sean Gallagher, explicou que, até agora, os invasores do Log4Shell estão focados em criptomineração, chamando isso de “calmaria antes da tempestade”.
“Esperamos que os adversários provavelmente estejam obtendo o máximo de acesso a tudo o que puderem agora… para monetizar e/ou capitalizar mais tarde”, disse Gallagher. “A prioridade mais imediata para os defensores é reduzir a exposição corrigindo e mitigando todos os cantos de sua infraestrutura e investigando sistemas expostos e potencialmente comprometidos”.
Ele acrescentou: “Esta vulnerabilidade pode estar em todos os lugares”.
IOCs
IPs
Domínios
0brandaeyes0.xyz
0standavalue0.xyz0storageatools0.xyz
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
