Ataque cibernético global
18 de Julho de 2024

Agentes de ameaças desconhecidos foram observados explorando ferramentas open-source como parte de uma suposta campanha de espionagem cibernética visando organizações governamentais e do setor privado ao redor do mundo.

O grupo de análise Insikt da Recorded Future está monitorando a atividade sob o nome temporário TAG-100, destacando que o adversário provavelmente comprometeu organizações em pelo menos dez países através da África, Ásia, América do Norte, América do Sul e Oceania, incluindo duas organizações intergovernamentais não nomeadas da Ásia-Pacífico.


Também foram destacadas, desde fevereiro de 2024, entidades diplomáticas, governamentais, da cadeia de suprimentos de semicondutores, organizações sem fins lucrativos e entidades religiosas localizadas no Camboja, Djibuti, República Dominicana, Fiji, Indonésia, Países Baixos, Taiwan, Reino Unido, EUA e Vietnã.

"A TAG-100 emprega capacidades de remote access open-source e explora diversos dispositivos voltados para a internet para obter acesso inicial", disse a empresa de cibersegurança.

O grupo utilizou backdoors Go open-source Pantegana e Spark RAT após a exploração.
As cadeias de ataque envolvem a exploração de falhas de segurança conhecidas impactando diversos produtos voltados para a internet, incluindo Citrix NetScaler, F5 BIG-IP, Zimbra, Microsoft Exchange Server, SonicWall, Cisco Adaptive Security Appliances ASA, Palo Alto Networks GlobalProtect e Fortinet FortiGate.

O grupo também foi observado realizando atividades abrangentes de reconhecimento direcionadas a appliances voltados para a internet pertencentes a organizações em pelo menos quinze países, incluindo Cuba, França, Itália, Japão e Malásia.

Isso também compreendeu várias embaixadas cubanas localizadas na Bolívia, França e nos EUA.

"A partir do dia 16 de abril de 2024, a TAG-100 conduziu prováveis atividades de reconhecimento e exploração visando appliances Palo Alto Networks GlobalProtect de organizações, predominantemente baseadas nos EUA, dentro dos setores de educação, finanças, jurídico, governo local e utilidades", disse a empresa.

Esforço este que teria coincidido com a liberação pública de um exploit de conceito (PoC) para CVE-2024-3400 , uma vulnerabilidade crítica de execução remota de código afetando firewalls Palo Alto Networks GlobalProtect.

Um acesso inicial bem-sucedido é seguido pelo deployment de Pantegana, Spark RAT e Cobalt Strike Beacon nos hosts comprometidos.

Os achados ilustram como exploits PoC podem ser combinados com programas open-source para orquestrar ataques, reduzindo efetivamente a barreira de entrada para atores de ameaças menos sofisticados.

Além disso, tal metodologia permite aos adversários complicar os esforços de atribuição e evitar detecção.

"O amplo direcionamento de appliances voltados para a internet é particularmente atrativo porque oferece um ponto de apoio dentro da rede visada através de produtos que muitas vezes têm visibilidade limitada, capacidades de log e suporte para soluções de segurança tradicionais, reduzindo o risco de detecção após a exploração", disse a Recorded Future.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...