Um subgrupo dentro do famoso grupo de hackers patrocinado pelo estado russo conhecido como Sandworm foi atribuído a uma operação de acesso inicial multi-anual apelidada de BadPilot que se estendeu pelo globo.
"Este subgrupo conduziu comprometimentos globalmente diversificados de infraestrutura voltada para a Internet para permitir que o Seashell Blizzard persista em alvos de alto valor e apoie operações de rede personalizadas," a equipe de Threat Intelligence da Microsoft disse em um novo relatório compartilhado.
A dispersão geográfica dos alvos do subgrupo de acesso inicial inclui toda a América do Norte, vários países na Europa, bem como outros, incluindo Angola, Argentina, Austrália, China, Egito, Índia, Cazaquistão, Mianmar, Nigéria, Paquistão, Turquia e Uzbequistão.
O desenvolvimento marca uma expansão significativa da pegada de vítimas do grupo de hackers nos últimos três anos, que é de outro modo conhecido por se concentrar em torno da Europa Oriental:
-2022: Setores de energia, varejo, educação, consultoria e agricultura na Ucrânia;
-2023: Setores nos Estados Unidos, Europa, Ásia Central e Oriente Médio que forneceram suporte material para a guerra na Ucrânia ou eram geopoliticamente significativos;
-2024: Entidades nos Estados Unidos, Canadá, Austrália e Reino Unido.
O Sandworm é rastreado pela Microsoft sob o codinome Seashell Blizzard (anteriormente Iridium), e pela comunidade de cibersegurança mais ampla sob os nomes APT44, Blue Echidna, FROZENBARENTS, Grey Tornado, Iron Viking, Razing Ursa, Telebots, UAC-0002, e Voodoo Bear.
Ativo desde pelo menos 2013, o grupo é avaliado como afiliado à Unidade 74455 dentro da Diretoria Principal do Estado-Maior das Forças Armadas da Federação Russa (GRU).
O coletivo adversário foi descrito pelo Mandiant, de propriedade do Google, como um ator de ameaça "altamente adaptável" e "operacionalmente maduro" que se envolve em operações de espionagem, ataque e influência.
Ele também tem um histórico de montar ataques disruptivos e destrutivos contra a Ucrânia na última década.
Campanhas montadas pelo Sandworm após a guerra Russo-Ucraniana têm se aproveitado de data wipers (KillDisk aka HermeticWiper), pseudo-ransomware (Prestige aka PRESSTEA), e backdoors (Kapeka), além de famílias de malware off-the-shelf como DarkCrystal RAT (aka DCRat) que permitem aos atores de ameaças manter acesso remoto persistente aos hosts infectados.
Também foi observada a sua dependência de uma variedade de empresas russas e marketplaces criminosos para fonte e sustentação de suas capacidades ofensivas, destacando uma crescente tendência de cibercrime facilitando o hacking apoiado pelo estado.
"O grupo usou ferramentas e infraestrutura fontes do crime como uma fonte de capacidades descartáveis que podem ser operacionalizadas em curto prazo sem ligações imediatas com suas operações passadas", o Google Threat Intelligence Group (GTIG) disse em uma análise.
Desde a invasão em larga escala da Ucrânia pela Rússia, APT44 aumentou o uso de tais ferramentas, incluindo malware como DarkCrystal RAT (DCRat), Warzone, e RADTHIEF ('Rhadamanthys Stealer'), e infraestrutura de hospedagem à prova de bala como a fornecida pelo ator de língua russa 'yalishanda', que anuncia em comunidades underground de cibercriminosos.
A Microsoft disse que o subgrupo Sandworm está operacional desde pelo menos o final de 2021, explorando várias falhas de segurança conhecidas para obter acesso inicial, seguidas por uma série de ações de pós-exploração visando coletar credenciais, conseguir execução de comandos e apoiar a movimentação lateral.
"Operações observadas após o acesso inicial indicam que essa campanha permitiu que o Seashell Blizzard obtivesse acesso a alvos globais em setores sensíveis incluindo energia, óleo e gás, telecomunicações, transporte, fabricação de armas, além de governos internacionais," a gigante de tecnologia observou.
Este subgrupo foi possibilitado por uma capacidade horizontalmente escalável impulsionada por exploits publicados que permitiram ao Seashell Blizzard descobrir e comprometer numerosos sistemas voltados para a Internet em uma ampla gama de regiões geográficas e setores.
Desde o início do ano passado, a subunidade disse ter utilizado vulnerabilidades no ConnectWise ScreenConnect (CVE-2024-1709) e no Fortinet FortiClient EMS (
CVE-2023-48788
) para infiltrar alvos no Reino Unido e nos Estados Unidos.
Ataques realizados pelo subgrupo envolvem uma combinação de ataques "spray and pray" oportunísticos e intrusões direcionadas que são projetadas para manter acesso indiscriminado e realizar ações subsequentes para expandir o acesso à rede ou obter informações confidenciais.
Acredita-se que a ampla gama de comprometimentos ofereça ao Seashell Blizzard uma maneira de atender aos objetivos estratégicos em constante evolução do Kremlin, permitindo ao grupo de hacking escalar horizontalmente suas operações em setores diversos conforme novos exploits são divulgados.
Até agora, o subgrupo utilizou até oito vulnerabilidades de segurança conhecidas diferentes:
-Microsoft Exchange Server (
CVE-2021-34473
aka ProxyShell)
-Zimbra Collaboration (
CVE-2022-41352
)
-Openfire (
CVE-2023-32315
)
-JetBrains TeamCity (
CVE-2023-42793
)
-Microsoft Outlook (
CVE-2023-23397
)
-Fortinet FortiClient EMS (
CVE-2023-48788
)
-Connectwise ScreenConnect (CVE-2024-1709)
-JBOSS (CVE desconhecido)
Um ponto de apoio bem-sucedido é seguido pelo ator de ameaça estabelecendo persistência por meio de três métodos diferentes:
24 de fevereiro de 2024 – presente: Implantação de software legítimo de acesso remoto como o Atera Agent e Splashtop Remote Services, em alguns casos abusando do acesso para soltar payloads úteis adicionais para aquisição de credenciais, exfiltração de dados e outras ferramentas para manter acesso como OpenSSH e uma utilidade sob medida apelidada de ShadowLink que permite que o sistema comprometido seja acessível via a rede de anonimato TOR.
Final de 2021 – presente: Implantação de um web shell nomeado LocalOlive que permite comando e controle e serve como conduto para mais payloads úteis, como utilidades de tunelamento (e.g., Chisel, plink, e rsockstun).
Final de 2021 – 2024: Modificações maliciosas nas páginas de login do Outlook Web Access (OWA) para injetar código JavaScript que pode colher e exfiltrar credenciais de volta ao ator de ameaça em tempo real, e mudanças na configuração do DNS A-record provavelmente na tentativa de interceptar credenciais de serviços críticos de autenticação
"Este subgrupo, que é caracterizado dentro da organização mais ampla do Seashell Blizzard por seu alcance quase global, representa uma expansão tanto na direcionamento geográfico conduzido pelo Seashell Blizzard quanto no escopo de suas operações," a Microsoft disse.
Ao mesmo tempo, os métodos de acesso oportunísticos e abrangentes do Seashell Blizzard provavelmente oferecem à Rússia amplas oportunidades para operações e atividades de nicho que continuarão a ser valiosas a médio prazo.
O desenvolvimento ocorre enquanto a empresa de cibersegurança holandesa EclecticIQ vinculou o grupo Sandworm a outra campanha que aproveita ativadores piratas do Microsoft Key Management Service (KMS) e atualizações falsas do Windows para entregar uma nova versão do BACKORDER, um downloader baseado em Go responsável por buscar e executar um payload de segunda fase de um servidor remoto.
BACKORDER, segundo o Mandiant, geralmente é entregue dentro de arquivos instaladores trojanizados e é codificado para executar o executável de configuração original.
O objetivo final da campanha é entregar o DarkCrystal RAT.
"A forte dependência da Ucrânia em software crackeado, inclusive em instituições governamentais, cria uma grande superfície de ataque," disse o pesquisador de segurança Arda Büyükkaya.
Muitos usuários, incluindo empresas e entidades críticas, recorreram a software pirata de fontes não confiáveis, dando a adversários como o Sandworm (APT44) uma oportunidade primordial para embutir malware em programas amplamente utilizados.
Uma análise adicional da infraestrutura descobriu um backdoor RDP anteriormente não documentado apelidado de Kalambur que está disfarçado como uma atualização do Windows, e que utiliza a rede TOR para comando e controle, além de implantar o OpenSSH e habilitar o acesso remoto via o Protocolo de Desktop Remoto (RDP) na porta 3389.
Curiosamente, o Kalambur compartilha algum nível de sobreposição funcional com o ShadowLink.
"Quando lançado, [ShadowLink] instala serviços ocultos TOR no dispositivo, transformando-o em um servidor de rede TOR com um domínio .onion único," por Microsoft.
O ator de ameaça pode se conectar a esse domínio usando um número de porta pré-configurado, que neste caso é a porta 3389, redirecionando o tráfego para o serviço de Protocolo de Desktop Remoto (RDP) do dispositivo.
"Ao aproveitar software trojanizado para infiltrar ambientes ICS, o Sandworm (APT44) continua a demonstrar seu objetivo estratégico de desestabilizar a infraestrutura crítica da Ucrânia em apoio às ambições geopolíticas russas," disse Büyükkaya.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...