Caçadores de ameaças estão alertando sobre uma nova campanha que mirou dispositivos Fortinet FortiGate firewall com interfaces de gerenciamento expostas na internet pública.
"A campanha envolveu logins administrativos não autorizados nas interfaces de gerenciamento dos firewalls, criação de novas contas, autenticação SSL VPN por meio dessas contas e várias outras mudanças de configuração," afirmou a firma de cibersegurança Arctic Wolf em uma análise publicada na semana passada.
Acredita-se que a atividade maliciosa tenha começado em meados de novembro de 2024, com atores de ameaças desconhecidos ganhando acesso não autorizado às interfaces de gerenciamento nos firewalls afetados para alterar configurações e extrair credenciais usando DCSync.
O vetor inicial de acesso exato atualmente não é conhecido, embora tenha sido avaliado com "alta confiança" que provavelmente seja motivado pela exploração de uma vulnerabilidade zero-day, dada a "linha do tempo comprimida entre as organizações afetadas assim como as versões de firmware afetadas."
As versões de firmware dos dispositivos impactados variaram entre 7.0.14 e 7.0.16, que foram lançadas respectivamente em fevereiro e outubro de 2024.
A campanha foi observada passando por quatro fases distintas de ataque que começaram por volta de 16 de novembro de 2024, permitindo que os atores mal-intencionados evoluíssem de varredura de vulnerabilidade e reconhecimento para mudanças de configuração e movimento lateral.
"O que se destaca sobre essas atividades em contraste com atividades legítimas de firewall é o fato de que eles fizeram uso extensivo da interface jsconsole de um punhado de endereços IP incomuns," disseram os pesquisadores da Arctic Wolf.
Dadas as diferenças sutis em modus operandi e infraestrutura entre as intrusões, é possível que múltiplos indivíduos ou grupos possam ter estado envolvidos nesta campanha, mas o uso do jsconsole foi um ponto em comum em todos os casos.
Os invasões digitais, resumindo, envolveram os atacantes fazendo login nas interfaces de gerenciamento do firewall para fazer mudanças de configuração, incluindo modificar a configuração de saída de "standard" para "more", como parte dos esforços iniciais de reconhecimento, antes de fazer mudanças mais extensas para criar novas contas de super administrador no início de dezembro de 2024.
Diz-se que essas novas contas de super administrador foram subsequentemente usadas para configurar até seis novas contas de usuário local e adicioná-las a grupos existentes que tinham sido previamente criados pelas organizações vítimas para acesso SSL VPN.
Em outros incidentes, contas existentes foram sequestradas e adicionadas a grupos com acesso VPN.
"Atacantes também foram observados criando novos portais SSL VPN aos quais adicionaram contas de usuário diretamente," notou a Arctic Wolf.
"Após fazer as mudanças necessárias, atacantes estabeleceram túneis SSL VPN com os dispositivos afetados. Todos os endereços IP do cliente dos túneis originaram-se de um punhado de provedores de hospedagem VPS."
A campanha culminou com os adversários aproveitando o acesso SSL VPN para extrair credenciais para movimento lateral usando uma técnica chamada DCSync.
Dito isso, atualmente não há visibilidade de seus objetivos finais, pois eles foram expurgados dos ambientes comprometidos antes que os ataques pudessem prosseguir para a próxima etapa.
Para mitigar tais riscos, é essencial que as organizações não exponham suas interfaces de gerenciamento de firewall na internet e limitem o acesso a usuários confiáveis.
"A vitimologia nesta campanha não foi limitada a setores ou tamanhos de organização específicos," disse a empresa.
A diversidade dos perfis das organizações vítimas combinada com a aparição de eventos de login/logoff automatizados sugere que o direcionamento foi de natureza oportunista ao invés de ser deliberadamente e metodicamente direcionado.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...