Agentes de ameaças desconhecidos foram observados explorando ferramentas open-source como parte de uma suposta campanha de espionagem cibernética visando organizações governamentais e do setor privado ao redor do mundo.
O grupo de análise Insikt da Recorded Future está monitorando a atividade sob o nome temporário TAG-100, destacando que o adversário provavelmente comprometeu organizações em pelo menos dez países através da África, Ásia, América do Norte, América do Sul e Oceania, incluindo duas organizações intergovernamentais não nomeadas da Ásia-Pacífico.
Também foram destacadas, desde fevereiro de 2024, entidades diplomáticas, governamentais, da cadeia de suprimentos de semicondutores, organizações sem fins lucrativos e entidades religiosas localizadas no Camboja, Djibuti, República Dominicana, Fiji, Indonésia, Países Baixos, Taiwan, Reino Unido, EUA e Vietnã.
"A TAG-100 emprega capacidades de remote access open-source e explora diversos dispositivos voltados para a internet para obter acesso inicial", disse a empresa de cibersegurança.
O grupo utilizou backdoors Go open-source Pantegana e Spark RAT após a exploração.
As cadeias de ataque envolvem a exploração de falhas de segurança conhecidas impactando diversos produtos voltados para a internet, incluindo Citrix NetScaler, F5 BIG-IP, Zimbra, Microsoft Exchange Server, SonicWall, Cisco Adaptive Security Appliances ASA, Palo Alto Networks GlobalProtect e Fortinet FortiGate.
O grupo também foi observado realizando atividades abrangentes de reconhecimento direcionadas a appliances voltados para a internet pertencentes a organizações em pelo menos quinze países, incluindo Cuba, França, Itália, Japão e Malásia.
Isso também compreendeu várias embaixadas cubanas localizadas na Bolívia, França e nos EUA.
"A partir do dia 16 de abril de 2024, a TAG-100 conduziu prováveis atividades de reconhecimento e exploração visando appliances Palo Alto Networks GlobalProtect de organizações, predominantemente baseadas nos EUA, dentro dos setores de educação, finanças, jurídico, governo local e utilidades", disse a empresa.
Esforço este que teria coincidido com a liberação pública de um exploit de conceito (PoC) para
CVE-2024-3400
, uma vulnerabilidade crítica de execução remota de código afetando firewalls Palo Alto Networks GlobalProtect.
Um acesso inicial bem-sucedido é seguido pelo deployment de Pantegana, Spark RAT e Cobalt Strike Beacon nos hosts comprometidos.
Os achados ilustram como exploits PoC podem ser combinados com programas open-source para orquestrar ataques, reduzindo efetivamente a barreira de entrada para atores de ameaças menos sofisticados.
Além disso, tal metodologia permite aos adversários complicar os esforços de atribuição e evitar detecção.
"O amplo direcionamento de appliances voltados para a internet é particularmente atrativo porque oferece um ponto de apoio dentro da rede visada através de produtos que muitas vezes têm visibilidade limitada, capacidades de log e suporte para soluções de segurança tradicionais, reduzindo o risco de detecção após a exploração", disse a Recorded Future.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...