Os ciberpartidários da Bielorrússia compartilharam documentos relacionados a outro hack e explicaram que o membro da Curated Intel, SttyK, “entenderia alguns dos métodos usados”.
Na segunda-feira, 24 de janeiro de 2022, um grupo de hacktivistas bielorrussos chamado Ciberpartidários bielorrussos reivindicou a responsabilidade por um ataque limitado contra a empresa ferroviária nacional. Um objetivo primário do ataque, eles alegaram, visava impedir os movimentos de tropas russas dentro da Bielorrússia.
Em relatos da mídia pública, foi afirmado que o site do serviço ferroviário emitiu um aviso aos passageiros de que alguns sistemas de bilhete eletrônico não estavam disponíveis (fonte: rw[.]by), aparentemente confirmando as alegações dos ciberpartidários de que visavam ativos de rede para interromper as operações. O governo bielorrusso não comentou o incidente.
Na terça-feira, 24 de janeiro, o membro da Curated Intelligence @SttyK obteve documentos dos Cyber-Partisans, que o grupo alegou que ajudariam o SttyK a “entender alguns dos métodos usados” durante o ataque. Inicialmente SttyK procurou o grupo buscando acesso ao malware usado no ataque, que teria então sido estudado. No entanto, o grupo se recusou a compartilhar o código, mas observou que “faria isso com prazer quando o regime autoritário da Bielorrússia acabar”.
Informações conhecidas:
Com base em relatórios públicos e entrevistas anteriores, os ciberpartidários bielorrussos são “um grupo de 15 hacktivistas autodidatas que afirmam ter assistência e apoio de forças de segurança bielorrussas descontentes” (fonte: CyberScoop). O grupo está intimamente associado a uma série de operações de desfiguração de sites do governo. Em agosto passado, o grupo conversou com Patrick Howell O’Neill na Technology Review , em uma entrevista bastante informativa, caso alguém queira informações adicionais.
Nova informação:
Como mencionado, SttyK entrou em contato com o grupo para obter amostras de malware para estudo. Em vez disso, o que o grupo respondeu foi uma série de documentos. Esses documentos representam um relatório baseado em uma investigação sobre um ataque em 14 de março de 2021, que foi concluído em 8 de abril do mesmo ano.
Nota do Editor: Uma das primeiras perguntas feitas internamente pelos membros da Curated Intelligence foi “por quê?”. Por que eles estão compartilhando esses detalhes e o que eles têm a ganhar ao expor um relatório de incidente divulgado anteriormente? Há uma série de respostas para essa pergunta, mas a resposta-chave é a exposição. Como é o caso de artigos em grandes publicações, blogs como este dão atenção aos hacktivistas para sua causa. Então a questão se torna, é a informação que eles compartilharam conosco de importância para o público (sim, é). Assim, dar-lhes atenção vale a troca em nossas opiniões e atende ao nosso objetivo de informar o público.
O Relatório de Resposta a Incidentes Roubados:
- O relatório foi mencionado pela primeira vez em um vídeo do YouTube no próprio canal do YouTube dos Cyber-Partisans em novembro de 2021 (veja aqui)
- A investigação e o relatório começaram em 25 de março de 2021 e foram feitos pela VirusBlokAda (a empresa de antivírus que também descobriu o Stuxnet)
- O relatório do incidente custou 2.530,00 BYN (no valor estimado de $ 1.000 USD)
- No relatório, a data inicial do compromisso foi descoberta em 14 de março de 2021
- De acordo com o relatório, a vítima era a Academia de Administração Pública do Presidente da República da Bielorrússia
Impacket – https://github.com/SecureAuthCorp/impacket
Cinzel – https://github.com/jpillora/cinzel
3proxy – https://3proxy.org/
Considerando que esta foi uma investigação completa de resposta a incidentes que custou menos de US$ 1.000, não é surpreendente que as descobertas não sejam claras. A cadeia de ataque não foi totalmente explicada, mas tentamos juntá-la da melhor maneira possível com a ajuda de um membro da Curated Intelligence, @0xDISREL, que sabe ler e escrever russo. Ainda não estamos confiantes de que esta seja uma representação completa e precisa dos TTPs do grupo, mas deve ajudar mesmo assim.
Resumo do Ataque:
- Acesso inicial via BlueKeep RCE (CVE-2019-0708) no RDP em um sistema Windows Server 2008 R2
- Usou o serviço 3proxy[.]ru para lançar ataques de um VPS
- Uso de Mimikatz para despejar LSASS (privilégios de nível SYSTEM são necessários, no entanto, como eles os obtiveram atualmente não está claro)
- Nmap para identificar sistemas (usado Nmap para identificar sistemas com a porta 3389 aberta)
- RDP usado para mover lateralmente
- Eventualmente pousou no controlador de domínio da vítima
- Encaminhamento de porta TCP configurado para abrir a porta 3389 para a Internet para acesso persistente
- Dados excluídos (como registros de funcionários) de sistemas ativos e de backup
Indicadores de Compromisso (IOCs):
Modelo | Indicador | Contexto |
SHA256 | 3c2fe308c0a563e06263bbacf793bbe9b2259d795fcc36b953793a7e499e7f71 | RemoteAdmin.exe |
SHA256 | bae88a899f41ddce157ed42a2a5f800cd00fcbc400a98a11a9563976ef4c9655 | psexec.py |
Domínio | 3proxy[.]ru | Proxy VPS |
Dicas para caçar ameaças:
Comandos executados:
- mstcpsvc32 %COMSPEC% /Q /c echo net user aaiadmin /domain ^> \\127.0.0.1\ADMIN$\hibfile.sys 2^>^&1 > %TEMP%\execute.bat & %COMSPEC% /Q /c % TEMP%\execute.bat & del %TEMP%\execute.bat
Portas encaminhadas:
- 3389 (RDP) -> Porta 9000
- 3389 (RDP) -> Porta 9001
- 4899 (RAdmin) -> Porta 9002
- 3389 (RDP) -> Porta 9003
Contas de usuário:
- Eles usaram o usuário padrão aaiadmin
Cadeia de Morte Cibernética:
O membro com curadoria de inteligência, @TrevorGiffen, mapeou aproximadamente a análise de intrusão para Cyber Kill Chain, Diamond Model e MITRE ATT&CK.
Modelo Diamond com MITRE ATT&CK:
Fonte: Curated Intelligence
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.