O Grupo Cibernético 'Gold Melody' está vendendo acesso comprometido aos atacantes de ransomware
21 de Setembro de 2023

Um ator de ameaça motivado financeiramente foi revelado como um corretor de acesso inicial (IAB) que vende acesso a organizações comprometidas para outros adversários realizarem ataques subsequentes, como ransomware.

A SecureWorks Counter Threat Unit (CTU) nomeou o grupo de e-crime Gold Melody, que também é conhecido pelos nomes Prophet Spider (CrowdStrike) e UNC961 (Mandiant).

"Este grupo motivado financeiramente está ativo desde pelo menos 2017, comprometendo organizações ao explorar vulnerabilidades em servidores voltados para a internet que não foram corrigidos", disse a empresa de cibersegurança.

"A vitimologia sugere ataques oportunistas para ganho financeiro em vez de uma campanha direcionada conduzida por um grupo de ameaça patrocinado pelo estado para espionagem, destruição ou interrupção."

Gold Melody foi anteriormente vinculado a ataques que exploram falhas de segurança em servidores JBoss Messaging ( CVE-2017-7504 ), Citrix ADC ( CVE-2019-19781 ), Oracle WebLogic ( CVE-2020-14750 e CVE-2020-14882 ), GitLab ( CVE-2021-22205 ), Citrix ShareFile Storage Zones Controller ( CVE-2021-22941 ), Atlassian Confluence ( CVE-2021-26084 ), ForgeRock AM ( CVE-2021-35464 ) e Apache Log4j ( CVE-2021-44228 ).

O grupo de cibercrime tem sido observado expandindo sua pegada de vitimologia para atacar organizações de varejo, saúde, energia, transações financeiras e organizações de alta tecnologia na América do Norte, Norte da Europa e Oeste da Ásia a partir de meados de 2020.

A Mandiant, em uma análise publicada em março de 2023, disse que "em várias instâncias, a atividade de intrusão da UNC961 precedeu o lançamento dos ransomwares Maze e Egregor por atores distintos."

Além disso, descreveu o grupo como "imaginativo em sua abordagem oportunista para operações de acesso inicial" e notou que "adota uma abordagem econômica para obter acesso inicial explorando vulnerabilidades recentemente divulgadas usando código de exploração publicamente disponível."

Além de contar com um arsenal diversificado composto por web shells, software de sistema operacional integrado e utilitários disponíveis ao público, é conhecido por utilizar cavalos de Troia de acesso remoto (RATs) proprietários e ferramentas de tunelamento como GOTROJ (também conhecido como MUTEPUT), BARNWORK, HOLEDOOR, DARKDOOR, AUDITUNNEL, HOLEPUNCH, LIGHTBUNNY, e HOLERUN para executar comandos arbitrários, coletar informações do sistema e estabelecer um túnel reverso com um endereço IP codificado.

Ademais, a Secureworks, que associou a Gold Melody a cinco intrusões entre julho de 2020 e julho de 2022, disse que esses ataques envolveram o abuso de um conjunto diferente de falhas, incluindo aquelas que afetam o Oracle E-Business Suite ( CVE-2016-0545 ), Apache Struts ( CVE-2017-5638 ), Sitecore XP ( CVE-2021-42237 ) e Flexera FlexNet ( CVE-2021-44228 . Observe que esse problema afeta apenas o Log4j 1.2 quando configurado especificamente para usar o JMSAppender, que não é o padrão. O Apache Log4j 1.2 atingiu o fim da vida útil em agosto de 2015. Os usuários devem fazer upgrade para o Log4j 2, pois ele aborda inúmeros outros problemas das versões anteriores.

"> CVE-2021-4104 ) para obter acesso inicial.

Um realm de sucesso é sucedido pelo lançamento de web shells para persistência, seguido pela criação de diretórios no host comprometido para preparar as ferramentas usadas na cadeia de infecção.

"O Gold Melody realiza uma quantidade considerável de varreduras para entender o ambiente da vítima", disse a empresa.

"A varredura começa logo após obter acesso, mas é repetida e continuada durante toda a intrusão."
A fase de reconhecimento abre caminho para a coleta de credenciais, movimento lateral e exfiltração de dados.

Dito isto, todos os cinco ataques acabaram por se mostrar infrutíferos.

"Gold Melody atua como um IAB motivado financeiramente, vendendo acesso a outros atores de ameaça", concluiu a empresa.

"Os compradores subsequentemente monetizam o acesso, provavelmente através de extorsão através da implementação de ransomware."

"Sua dependência em explorar vulnerabilidades em servidores voltados para a internet não corrigidos para obter acesso reforça a importância de uma sólida administração de correções."

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...