Agentes de ameaça de proveniência desconhecida foram atribuídos a uma campanha maliciosa que tem como alvo principal organizações no Japão desde janeiro de 2025.
"O atacante explorou a vulnerabilidade CVE-2024-4577, uma falha de execução remota de código (RCE) na implementação PHP-CGI do PHP no Windows, para obter acesso inicial às máquinas vítimas", afirmou o pesquisador da Cisco Talos, Chetan Raghuprasad, em um relatório técnico publicado na quinta-feira(06).
"O atacante utiliza plugins do kit Cobalt Strike 'TaoWu', disponível publicamente, para atividades pós-exploração." Os alvos da atividade maliciosa abrangem empresas dos setores de tecnologia, telecomunicações, entretenimento, educação e comércio eletrônico no Japão.
Tudo começa com os agentes de ameaça explorando a vulnerabilidade CVE-2024-4577 para obter acesso inicial e executar scripts do PowerShell para executar o payload do shellcode HTTP reverso do Cobalt Strike, concedendo a si mesmos acesso remoto persistente ao endpoint comprometido.
O próximo passo envolve realizar reconhecimento, escalonamento de privilégio e movimento lateral usando ferramentas como JuicyPotato, RottenPotato, SweetPotato, Fscan e Seatbelt.
A persistência adicional é estabelecida por meio de modificações no Registro do Windows, tarefas agendadas e serviços personalizados usando os plugins do kit Cobalt Strike chamado TaoWu.
"Para manter a discrição, eles apagam os logs de eventos usando comandos wevtutil, removendo rastros de suas ações dos logs de segurança, sistema e aplicativos do Windows", observou Raghuprasad.
Eventualmente, executam comandos do Mimikatz para despejar e exfiltrar senhas e hashes NTLM da memória na máquina da vítima.
Os ataques culminam com a equipe de hackers roubando senhas e hashes NTLM dos hosts infectados.
Uma análise adicional dos servidores de comando e controle (C2) associados à ferramenta Cobalt Strike revelou que o agente de ameaça deixou as listagens de diretório acessíveis pela internet, expondo assim o conjunto completo de ferramentas e frameworks adversários hospedados nos servidores da cloud Alibaba.
Notáveis entre as ferramentas listadas abaixo:
- Browser Exploitation Framework (BeEF), um software de pentesting disponível publicamente para executar comandos dentro do contexto do navegador.
- Viper C2, um framework modular C2 que facilita a execução de comandos remotos e a geração de payloads de shell reverso do Meterpreter.
- Blue-Lotus, um framework de ataque cross-site scripting (XSS) com JavaScript webshell que permite a criação de payloads de web shell em JavaScript para conduzir ataques XSS, capturar capturas de tela, obter shell reverso, roubar cookies do navegador e criar novas contas no Sistema de Gerenciamento de Conteúdo (CMS).
"Avaliamos com confiança moderada que o motivo do atacante vai além da simples coleta de credenciais, com base na nossa observação de outras atividades pós-exploração, como o estabelecimento de persistência, elevação para o privilégio de nível SYSTEM e acesso potencial a frameworks adversários, indicando a probabilidade de ataques futuros", disse Raghuprasad.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...