Pesquisadores de cibersegurança detalharam um ataque que envolveu um ator de ameaça utilizando um backdoor baseado em Python para manter acesso persistente a endpoints comprometidos e, em seguida, aproveitou esse acesso para implantar o ransomware RansomHub em toda a rede alvo.
De acordo com a GuidePoint Security, o acesso inicial teria sido facilitado por meio de um malware em JavaScript chamado SocGholish (também conhecido como FakeUpdates), que é conhecido por ser distribuído através de campanhas de drive-by que enganam usuários desavisados a baixarem atualizações falsas de navegadores web.
Tais ataques geralmente envolvem o uso de websites legítimos, mas infectados, para onde as vítimas são redirecionadas a partir dos resultados dos motores de busca usando técnicas de Search Engine Optimization (SEO) black hat.
Após a execução, o SocGholish estabelece contato com um servidor controlado pelo atacante para recuperar payloads secundárias.
Tão recentemente quanto no ano passado, campanhas de SocGholish visaram sites WordPress que dependem de versões desatualizadas de plugins de SEO populares como o Yoast (
CVE-2024-4984
, pontuação CVSS: 6.4) e Rank Math PRO (
CVE-2024-3665
, pontuação CVSS: 6.4) para o acesso inicial.
No incidente investigado pela GuidePoint Security, descobriu-se que o backdoor em Python foi solto cerca de 20 minutos após a infecção inicial através do SocGholish.
O ator de ameaça então procedeu para entregar o backdoor a outras máquinas localizadas na mesma rede durante o movimento lateral via sessões RDP.
"Funcionalmente, o script é um proxy reverso que se conecta a um endereço IP codificado.
Uma vez que o script passou pelo handshake inicial de command-and-control (C2), ele estabelece um túnel que é fortemente baseado no protocolo SOCKS5," disse o pesquisador de segurança Andrew Nelson.
Esse túnel permite que o ator de ameaça se mova lateralmente na rede comprometida usando o sistema da vítima como um proxy.
O script em Python, uma versão anterior do qual foi documentada pela ReliaQuest em fevereiro de 2024, tem sido detectado no wild desde o início de dezembro de 2023, enquanto passava por "mudanças superficiais" que visam melhorar os métodos de ofuscação usados para evitar detecção.
A GuidePoint também observou que o script decodificado é polido e bem escrito, indicando que o autor do malware é meticuloso sobre manter um código Python altamente legível e testável ou está se apoiando em ferramentas de inteligência artificial (AI) para auxiliar com a tarefa de codificação.
"Com exceção da ofuscação de variáveis locais, o código é dividido em classes distintas com nomes de métodos e variáveis altamente descritivos," Nelson adicionou.
Cada método também possui um alto grau de tratamento de erros e mensagens de depuração verbosas.
O backdoor baseado em Python está longe de ser o único precursor detectado em ataques de ransomware.
Como destacado pela Halcyon no início deste mês, algumas das outras ferramentas implantadas antes da implantação de ransomware incluem aquelas responsáveis por:
-Desabilitar soluções de Endpoint Detection and Response (EDR) usando EDRSilencer e Backstab;
-Roubar credenciais usando LaZagne;
-Comprometer contas de email forçando bruscamente as credenciais usando MailBruter;
-Manter acesso furtivo e entregar payloads secundários usando Sirefef e Mediyes.
Campanhas de ransomware também foram observadas visando os buckets Amazon S3 ao aproveitar os serviços do Amazon Web Services' Server-Side Encryption with Customer Provided Keys (SSE-C) para criptografar os dados das vítimas.
A atividade foi atribuída a um ator de ameaça denominado Codefinger.
Além de prevenir a recuperação sem a chave gerada por eles, os ataques empregam tácticas de resgate urgentes nas quais os arquivos são marcados para exclusão dentro de sete dias via a API S3 Object Lifecycle Management para pressionar as vítimas a pagar.
"O ator de ameaça Codefinger abusa de chaves AWS publicamente divulgadas com permissões para escrever e ler objetos S3," disse a Halcyon.
Ao utilizar serviços nativos da AWS, eles conseguem a criptografia de forma segura e irrecuperável sem a cooperação deles.
O desenvolvimento vem conforme a SlashNext disse ter testemunhado um aumento nas campanhas de phishing "rapid-fire" imitando a técnica de bombardeio de emails da equipe de ransomware Black Basta para inundar as caixas de entrada das vítimas com mais de 1.100 mensagens legítimas relacionadas a boletins informativos ou avisos de pagamento.
"Então, quando as pessoas se sentem sobrecarregadas, os atacantes entram em cena via chamadas telefônicas ou mensagens do Microsoft Teams, se passando por suporte técnico da empresa com uma solução simples," disse a empresa.
Eles falam com confiança para ganhar confiança, direcionando os usuários a instalar softwares de acesso remoto como TeamViewer ou AnyDesk.
Uma vez que o software está em um dispositivo, os atacantes entram silenciosamente.
A partir daí, eles podem espalhar programas prejudiciais ou se infiltrar em outras áreas da rede, abrindo caminho direto para dados sensíveis.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...