A Amazon interceptou domínios utilizados pelo grupo de hacking russo APT29 em ataques direcionados contra organizações governamentais e militares para roubar credenciais do Windows e dados usando arquivos maliciosos de conexão do Protocolo de Área de Trabalho Remota (Remote Desktop Protocol - RDP).
APT29, também conhecido como "Cozy Bear" e "Midnight Blizzard," é um grupo de ciberespionagem patrocinado pelo estado russo vinculado ao Serviço de Inteligência Estrangeira da Rússia (SVR).
A Amazon esclarece que, embora as páginas de phishing usadas pelo APT29 tenham sido feitas para parecer domínios da AWS, nem a Amazon nem as credenciais para sua plataforma de nuvem eram os alvos diretos desses ataques.
"Alguns dos nomes de domínio que eles usaram tentaram enganar os alvos fazendo-os acreditar que os domínios eram da AWS (não eram), mas a Amazon não era o alvo, nem o grupo estava atrás de credenciais de clientes da AWS," diz o anúncio.
Em vez disso, a APT29 buscou as credenciais do Windows de seus alvos através do Microsoft Remote Desktop.
Ao tomar conhecimento dessa atividade, iniciamos imediatamente o processo de apreender os domínios que a APT29 estava abusando que se faziam passar por da AWS, a fim de interromper a operação.
Os agentes de ameaças são conhecidos por ataques altamente sofisticados visando governos, think tanks e instituições de pesquisa globalmente, frequentemente usando phishing e malware para roubar informações sensíveis.
Embora a recente campanha da APT29 tenha tido um impacto significativo na Ucrânia, onde foi descoberta pela primeira vez, ela teve um alcance amplo, visando múltiplos países considerados adversários da Rússia.
A Amazon observa que, nesta campanha em particular, a APT29 enviou e-mails de phishing para um número muito maior de alvos do que normalmente faz, seguindo a abordagem oposta de sua estratégia típica de "foco estreito".
A Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA) publicou um aviso sobre esses anexos "RDP fraudulentos" para alertar sobre a atividade de e-mail em massa, que eles rastreiam sob 'UAC-0215'.
As mensagens usavam o tópico de abordagem de 'integração' de questões com serviços da Amazon e Microsoft e a implementação de uma arquitetura de cibersegurança 'zero trust' (Zero Trust Architecture, ZTA).
Os e-mails incluíam arquivos de conexão RDP com nomes como "Verificação de Conformidade do Ambiente de Segurança Zero Trust.rdp" que iniciavam automaticamente conexões com servidores maliciosos quando abertos.
Como pode ser visto na imagem de um desses perfis de conexão RDP acima, eles compartilhavam todos os recursos locais com o servidor RDP controlado pelo atacante, incluindo:
- Discos e arquivos locais
- Recursos de rede
- Impressoras
- Portas COM
- Dispositivos de áudio
- Área de transferência
Além disso, a CERT-UA diz que eles também podem ser usados para executar programas ou scripts não autorizados no dispositivo comprometido.
Embora a Amazon diga que esta campanha foi utilizada para roubar credenciais do Windows, já que os recursos locais do alvo eram compartilhados com o servidor RDP do atacante, isso também teria permitido que os agentes de ameaças roubassem dados diretamente dos dispositivos compartilhados.
Isso inclui todos os dados armazenados nos discos rígidos do alvo, na área de transferência do Windows e em compartilhamentos de rede mapeados.
A CERT-UA recomenda escrutinizar os logs de interação de rede para endereços IP compartilhados na seção IoC de seu boletim para detectar possíveis sinais de ataques ou violações.
Além disso, as medidas abaixo são recomendadas para reduzir a superfície de ataque:
- Bloquear arquivos '.rdp' no gateway de e-mail.
- Prevenir que usuários lancem quaisquer arquivos '.rdp' quando não necessário.
- Configurar as configurações de firewall para restringir conexões RDP a partir do programa mstsc.exe para recursos de rede externos.
- Configurar políticas de grupo para desabilitar a redireção de recursos via RDP ('Remote Desktop Services' -> 'Remote Desktop Session Host' -> 'Device and Resource Redirection' -> 'Do not allow...').
APT29 permanece uma das maiores ameaças cibernéticas da Rússia, recentemente se tornando conhecida por usar exploits disponíveis apenas para fornecedores de spyware.
No ano passado, foi revelado que os agentes de ameaças hackearam importantes fornecedores de software como TeamViewer, Microsoft e Hewlett Packard Enterprise.
Os serviços de inteligência ocidentais alertaram, no início deste mês, sobre o APT29 explorando em massa falhas nos servidores Zimbra e JetBrains TeamCity para violar organizações importantes mundialmente.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...