Um subgrupo do grupo russo patrocinado pelo estado de hacking APT44, também conhecido como 'Seashell Blizzard' e 'Sandworm', tem como alvo organizações críticas e governos em uma campanha de vários anos apelidada de 'BadPilot'.
O ator de ameaças está ativo desde pelo menos 2021 e também é responsável por invadir redes de organizações nos setores de energia, petróleo e gás, telecomunicações, transporte marítimo e fabricação de armas.
A equipe de Threat Intelligence da Microsoft diz que o ator está dedicado a alcançar acesso inicial aos sistemas alvo, estabelecer persistência e manter presença para permitir que outros subgrupos do APT44 com expertise pós-compromisso assumam o controle.
"Também observamos o subgrupo de acesso inicial buscar acesso a uma organização antes de um ataque destrutivo vinculado ao Seashell Blizzard", lê-se num relatório da Microsoft compartilhado.
A avaliação da Microsoft é "que o Seashell Blizzard usa esse subgrupo de acesso inicial para escalar horizontalmente suas operações à medida que novas explorações são adquiridas e para manter acesso persistente aos setores atuais e futuros de interesse da Rússia".
As observações mais antigas da Microsoft sobre a atividade do subgrupo mostram operações oportunistas visando Ucrânia, Europa, Ásia Central e do Sul, e Oriente Médio, focando em setores críticos.
A partir de 2022, após a invasão da Ucrânia pela Rússia, o subgrupo intensificou suas operações contra infraestruturas críticas que apoiam a Ucrânia, incluindo os setores governamental, militar, de transporte e logística.
Suas intrusões visavam coleta de inteligência, interrupções operacionais e ataques de wiper destinados a corromper dados nos sistemas alvo.
"Avaliamos que o subgrupo provavelmente possibilitou pelo menos três ataques cibernéticos destrutivos na Ucrânia desde 2023", menciona a Microsoft em relação à atividade específica do subgrupo.
Até 2023, o escopo de alvos do subgrupo se ampliou, realizando comprometimentos em larga escala na Europa, Estados Unidos e Oriente Médio, e em 2024, começou a focar nos Estados Unidos, Reino Unido, Canadá e Austrália.
O subgrupo APT44 emprega múltiplas técnicas para comprometer redes, incluindo a exploração de vulnerabilidades n-day em infraestrutura voltada para a internet, roubo de credenciais e ataques à cadeia de suprimentos.
Ataques à cadeia de suprimentos foram particularmente eficazes contra organizações na Europa e Ucrânia, onde os hackers visaram provedores de serviços de TI gerenciados regionalmente e, em seguida, acessaram múltiplos clientes.
A Microsoft observou varreduras de rede e tentativas subsequentes de exploração das seguintes vulnerabilidades:
-
CVE-2021-34473
(Microsoft Exchange);
-
CVE-2022-41352
(Zimbra Collaboration Suite);
-
CVE-2023-32315
(OpenFire);
-
CVE-2023-42793
(JetBrains TeamCity);
-
CVE-2023-23397
(Microsoft Outlook);
-CVE-2024-1709 (ConnectWise ScreenConnect);
-
CVE-2023-48788
(Fortinet FortiClient EMS).
Depois de explorar as vulnerabilidades acima para obter acesso, os hackers estabeleceram persistência implantando web shells personalizados como 'LocalOlive'.
Em 2024, o subgrupo APT44 começou a usar ferramentas legítimas de gerenciamento remoto de TI, como Atera Agent e Splashtop Remote Services, para executar comandos em sistemas comprometidos enquanto se passam por administradores de TI para evitar detecção.
Em relação à atividade pós-acesso inicial, os atores de ameaças usam Procdump ou o registro do Windows para roubar credenciais, e Rclone, Chisel e Plink para exfiltração de dados através de túneis de rede ocultos.
Pesquisadores observaram uma técnica inovadora em 2024, à medida que o ator de ameaça roteava o tráfego através da rede Tor "disfarçando efetivamente todas as conexões de entrada para o ativo afetado e limitando exposições tanto do ambiente do ator quanto da vítima".
Finalmente, o subgrupo realiza movimento lateral para alcançar todas as partes da rede que pode e modifica a infraestrutura conforme necessário para suas operações.
As modificações incluem manipulações de configuração de DNS, a criação de novos serviços e tarefas agendadas, e a configuração de acesso backdoor usando OpenSSH com chaves públicas únicas.
A Microsoft diz que o subgrupo de hackers russos tem "alcance quase global" e ajuda o Seashell Blizzard a expandir seu direcionamento geográfico.
No relatório publicado hoje, os pesquisadores compartilham consultas de detecção, indicadores de comprometimento (IoCs) e regras YARA para que os defensores possam captar a atividade desse ator de ameaça e interrompê-la antes.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...