Hackers miram infraestruturas globais
13 de Fevereiro de 2025

Um subgrupo do grupo russo patrocinado pelo estado de hacking APT44, também conhecido como 'Seashell Blizzard' e 'Sandworm', tem como alvo organizações críticas e governos em uma campanha de vários anos apelidada de 'BadPilot'.

O ator de ameaças está ativo desde pelo menos 2021 e também é responsável por invadir redes de organizações nos setores de energia, petróleo e gás, telecomunicações, transporte marítimo e fabricação de armas.

A equipe de Threat Intelligence da Microsoft diz que o ator está dedicado a alcançar acesso inicial aos sistemas alvo, estabelecer persistência e manter presença para permitir que outros subgrupos do APT44 com expertise pós-compromisso assumam o controle.

"Também observamos o subgrupo de acesso inicial buscar acesso a uma organização antes de um ataque destrutivo vinculado ao Seashell Blizzard", lê-se num relatório da Microsoft compartilhado.

A avaliação da Microsoft é "que o Seashell Blizzard usa esse subgrupo de acesso inicial para escalar horizontalmente suas operações à medida que novas explorações são adquiridas e para manter acesso persistente aos setores atuais e futuros de interesse da Rússia".

As observações mais antigas da Microsoft sobre a atividade do subgrupo mostram operações oportunistas visando Ucrânia, Europa, Ásia Central e do Sul, e Oriente Médio, focando em setores críticos.

A partir de 2022, após a invasão da Ucrânia pela Rússia, o subgrupo intensificou suas operações contra infraestruturas críticas que apoiam a Ucrânia, incluindo os setores governamental, militar, de transporte e logística.

Suas intrusões visavam coleta de inteligência, interrupções operacionais e ataques de wiper destinados a corromper dados nos sistemas alvo.

"Avaliamos que o subgrupo provavelmente possibilitou pelo menos três ataques cibernéticos destrutivos na Ucrânia desde 2023", menciona a Microsoft em relação à atividade específica do subgrupo.

Até 2023, o escopo de alvos do subgrupo se ampliou, realizando comprometimentos em larga escala na Europa, Estados Unidos e Oriente Médio, e em 2024, começou a focar nos Estados Unidos, Reino Unido, Canadá e Austrália.

O subgrupo APT44 emprega múltiplas técnicas para comprometer redes, incluindo a exploração de vulnerabilidades n-day em infraestrutura voltada para a internet, roubo de credenciais e ataques à cadeia de suprimentos.

Ataques à cadeia de suprimentos foram particularmente eficazes contra organizações na Europa e Ucrânia, onde os hackers visaram provedores de serviços de TI gerenciados regionalmente e, em seguida, acessaram múltiplos clientes.

A Microsoft observou varreduras de rede e tentativas subsequentes de exploração das seguintes vulnerabilidades:

- CVE-2021-34473 (Microsoft Exchange);
- CVE-2022-41352 (Zimbra Collaboration Suite);
- CVE-2023-32315 (OpenFire);
- CVE-2023-42793 (JetBrains TeamCity);
- CVE-2023-23397 (Microsoft Outlook);
-CVE-2024-1709 (ConnectWise ScreenConnect);
- CVE-2023-48788 (Fortinet FortiClient EMS).

Depois de explorar as vulnerabilidades acima para obter acesso, os hackers estabeleceram persistência implantando web shells personalizados como 'LocalOlive'.

Em 2024, o subgrupo APT44 começou a usar ferramentas legítimas de gerenciamento remoto de TI, como Atera Agent e Splashtop Remote Services, para executar comandos em sistemas comprometidos enquanto se passam por administradores de TI para evitar detecção.

Em relação à atividade pós-acesso inicial, os atores de ameaças usam Procdump ou o registro do Windows para roubar credenciais, e Rclone, Chisel e Plink para exfiltração de dados através de túneis de rede ocultos.

Pesquisadores observaram uma técnica inovadora em 2024, à medida que o ator de ameaça roteava o tráfego através da rede Tor "disfarçando efetivamente todas as conexões de entrada para o ativo afetado e limitando exposições tanto do ambiente do ator quanto da vítima".

Finalmente, o subgrupo realiza movimento lateral para alcançar todas as partes da rede que pode e modifica a infraestrutura conforme necessário para suas operações.

As modificações incluem manipulações de configuração de DNS, a criação de novos serviços e tarefas agendadas, e a configuração de acesso backdoor usando OpenSSH com chaves públicas únicas.

A Microsoft diz que o subgrupo de hackers russos tem "alcance quase global" e ajuda o Seashell Blizzard a expandir seu direcionamento geográfico.

No relatório publicado hoje, os pesquisadores compartilham consultas de detecção, indicadores de comprometimento (IoCs) e regras YARA para que os defensores possam captar a atividade desse ator de ameaça e interrompê-la antes.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...