O Grupo Cibernético 'Gold Melody' está vendendo acesso comprometido aos atacantes de ransomware

21 de Setembro de 2023

Um ator de ameaça motivado financeiramente foi revelado como um corretor de acesso inicial (IAB) que vende acesso a organizações comprometidas para outros adversários realizarem ataques subsequentes, como ransomware.

A SecureWorks Counter Threat Unit (CTU) nomeou o grupo de e-crime Gold Melody, que também é conhecido pelos nomes Prophet Spider (CrowdStrike) e UNC961 (Mandiant).

"Este grupo motivado financeiramente está ativo desde pelo menos 2017, comprometendo organizações ao explorar vulnerabilidades em servidores voltados para a internet que não foram corrigidos", disse a empresa de cibersegurança.

"A vitimologia sugere ataques oportunistas para ganho financeiro em vez de uma campanha direcionada conduzida por um grupo de ameaça patrocinado pelo estado para espionagem, destruição ou interrupção."

Gold Melody foi anteriormente vinculado a ataques que exploram falhas de segurança em servidores JBoss Messaging ( CVE-2017-7504 ), Citrix ADC ( CVE-2019-19781 ), Oracle WebLogic ( CVE-2020-14750 e CVE-2020-14882 ), GitLab ( CVE-2021-22205 ), Citrix ShareFile Storage Zones Controller ( CVE-2021-22941 ), Atlassian Confluence ( CVE-2021-26084 ), ForgeRock AM ( CVE-2021-35464 ) e Apache Log4j ( CVE-2021-44228 ).

O grupo de cibercrime tem sido observado expandindo sua pegada de vitimologia para atacar organizações de varejo, saúde, energia, transações financeiras e organizações de alta tecnologia na América do Norte, Norte da Europa e Oeste da Ásia a partir de meados de 2020.

A Mandiant, em uma análise publicada em março de 2023, disse que "em várias instâncias, a atividade de intrusão da UNC961 precedeu o lançamento dos ransomwares Maze e Egregor por atores distintos."

Além disso, descreveu o grupo como "imaginativo em sua abordagem oportunista para operações de acesso inicial" e notou que "adota uma abordagem econômica para obter acesso inicial explorando vulnerabilidades recentemente divulgadas usando código de exploração publicamente disponível."

Além de contar com um arsenal diversificado composto por web shells, software de sistema operacional integrado e utilitários disponíveis ao público, é conhecido por utilizar cavalos de Troia de acesso remoto (RATs) proprietários e ferramentas de tunelamento como GOTROJ (também conhecido como MUTEPUT), BARNWORK, HOLEDOOR, DARKDOOR, AUDITUNNEL, HOLEPUNCH, LIGHTBUNNY, e HOLERUN para executar comandos arbitrários, coletar informações do sistema e estabelecer um túnel reverso com um endereço IP codificado.

Ademais, a Secureworks, que associou a Gold Melody a cinco intrusões entre julho de 2020 e julho de 2022, disse que esses ataques envolveram o abuso de um conjunto diferente de falhas, incluindo aquelas que afetam o Oracle E-Business Suite ( CVE-2016-0545 ), Apache Struts ( CVE-2017-5638 ), Sitecore XP ( CVE-2021-42237 ) e Flexera FlexNet ( CVE-2021-44228 . Observe que esse problema afeta apenas o Log4j 1.2 quando configurado especificamente para usar o JMSAppender, que não é o padrão. O Apache Log4j 1.2 atingiu o fim da vida útil em agosto de 2015. Os usuários devem fazer upgrade para o Log4j 2, pois ele aborda inúmeros outros problemas das versões anteriores.