Contato
Quem Somos
Quero Patrocinar

Como os serviços em nuvem são explorados pela espionagem cibernética?

Dados recentes mostram como a exploração da nuvem está progressivamente se tornando comum, até mesmo em operações de espionagem cibernética
  • Por: Redação
  • fevereiro 11, 2021

Compartilhar:

Por Paolo Passeri

 

Do ponto de vista da segurança da informação, 2020 foi um ano complicado. Não apenas a pandemia afetou o cenário de ameaças, mas os ataques de ransomware de dupla extorsão se tornaram frequentes. Em dezembro foram descobertas campanhas massivas de supply chain, cujo alcance ainda não está claro.

 

Algo que vale ser mencionado é o surgimento do armamento de serviços em nuvem por grupos patrocinados por governos em 2020. Explorar a nuvem para fins criminosos, por meio de phishing e malware (o ransomware Ryuk é um dos mais notáveis) é, infelizmente, uma tendência consolidada. No entanto, alguns dados recentes mostram como a exploração da nuvem está progressivamente se tornando comum, até mesmo em operações de espionagem cibernética, onde serviços legítimos são utilizados para entregar a carga maliciosa inserida numa kill chain com vários estágios, acrescentando uma camada adicional de evasão.

 

MuddyWater e GitHub

 

MuddyWater (também conhecido como Seedworm e TEMP.Zagros) é um grupo de ameaça iraniano que visa principalmente o Oriente Médio, mas também a Europa e a América do Norte. As vítimas do grupo são principalmente nos setores de telecomunicações, governo (serviços de TI) e petróleo.

 

Em campanha recente, o grupo implementou uma kill chain complexa, em que a cepa do malware é entregue por meio de um arquivo Word, com uma macro incorporada. Quando a macro é executada, inicia-se um Powershell que baixa e executa um script Powershell do GitHub. Este script Powershell então baixa um arquivo PNG do serviço de hospedagem de imagens Imgur e, por meio de esteganografia, os valores de pixel da imagem são usados para decodificar um script Cobalt Strike que se conecta ao comando e controle para receber instruções adicionais.

 

Cobalt Strike é uma ferramenta de teste de penetração que permite, entre outras coisas, a execução de comandos no endpoint e costuma ser usada como arma por atores mal intencionados (como neste caso). Essa característica benigna é explorada pelos invasores, pois a carga maliciosa decodificada inclui um string EICAR (Standard-antivirus-test-file), para enganar ferramentas de análise e analistas de SOC, fazendo-os acreditar que a carga maliciosa é parte de um teste.

 

Esta campanha tem um grau de complexidade incomum com múltiplos estágios que fornecem diferentes níveis de evasão: a exploração de um serviço em nuvem reconhecido, esteganografia e o  armamento de uma ferramenta de segurança.

 

Coquetel de serviços em nuvem para Molerats

 

Pesquisadores de segurança da Cybereason revelaram recentemente os detalhes de uma campanha de espionagem ativa realizada por Molerats (também conhecido como The Gaza Cybergang), um grupo de intimidação motivado politicamente com vítimas, principalmente, no Oriente Médio, Europa e Estados Unidos. Esta campanha, destinada a alvos de língua árabe, utilizou dois backdoors, não identificados anteriormente, chamados Sharpstage e DropBook (este segundo nome pode soar familiar) e explorou vários serviços em nuvem para as fases de entrega de malware (Dropbox e Google Drive) e comando e controle (novamente Dropbox e Facebook, daí o nome DropBook referente ao segundo backdoor).

 

A cadeia de ataque se inicia com documentos de phishing entregues por meio de engenharia social, com temas relacionados a assuntos atuais do Oriente Médio. Uma vez executado, os documentos de isca baixam os dois backdoors do Dropbox ou do Google Drive.

 

• SharpStage é um malware .NET com capacidades de backdoor. Entre os diferentes recursos maliciosos, o backdoor implementa um client Dropbox que exfiltra (rouba) os dados;

 

• Dropbook é um backdoor Python que pode executar comandos recebidos do Facebook e também baixar e executar cargas maliciosas adicionais do Dropbox.

 

Não é novidade que, conforme observado pelos pesquisadores, a exploração de serviços em nuvem tem o propósito de evitar a detecção e tornar a infraestrutura maliciosa resiliente:

 

Ambos os backdoors operam de maneira furtiva, ao implementar o serviço legítimo de armazenamento em nuvem Dropbox para exfiltrar as informações roubadas de seus alvos, evitando assim a detecção ou remoção, ao utilizar um serviço da web legítimo. Além disso, o DropBook  explora a plataforma Facebook, onde os operadores de backdoor criam contas fake para controlar o backdoor e se esconderem da vista de todos. O DropBook difere das outras ferramentas de espionagem, pois depende apenas de contas fake do Facebook para que o C2 (Comando e Controle) receba instruções de seus operadores. Embora a exploração das redes sociais para a comunicação C2 não seja novidade, não é algo observado com frequência.

 

Às vezes eles voltam

 

No último exemplo, um trojan backdoor de 13 anos, apelidado de Bandook (uma ferramenta de acesso remoto disponível desde 2007) voltou do passado para efetuar uma nova campanha de espionagem envolvendo vários alvos em todo mundo, numa adaptação à tendência de exploração da nuvem dentro de uma  complexa estratégia de várias etapas,  kill chain.

 

Mesmo neste caso, a cadeia de ataque é bastante sofisticada e pode ser simplificada da seguinte forma:

 

• O malware atinge os computadores dos alvos como um documento Microsoft Word malicioso dentro de um arquivo .zip. Os documentos estão relacionados a serviços baseados em nuvem como Office365, OneDrive e Azure, e o conteúdo pode ser acessado apenas se as vítimas clicarem em “Habilitar Conteúdo”;

 

• Assim que o documento é aberto, uma macro maliciosa é baixada por meio de um template externo (invisível para a vítima), que carrega uma carga maliciosa em um segundo estágio: um script PowerShell que, após várias etapas, faz o download de um arquivo zip contendo três arquivos de um dos os seguintes serviços de nuvem, como Dropbox, Bitbucket ou um  S3 bucket;

 

• Os arquivos baixados (disfarçados como imagens) são combinados na máquina da vítima para construir o Bandook Loader final que, usando a técnica de Process Hollowing, cria uma nova instância de um processo do Internet Explorer e injeta uma carga maliciosa nele.

 

Todas as três campanhas de espionagem cibernética compartilham um aspecto comum: uma kill chain que implementa vários mecanismos de evasão, incluindo o abuso de serviços de nuvem legítimos para distribuir a carga maliciosa.

 

*Paolo Passeri, Diretor de inteligência cibernética da Netskope

Destaques

Deepfakes: Como validar as vídeochamadas para escapar de golpes?

Operadoras de seguro cibernético aprimoram cálculo de risco com IA

PMEs são alvos de 1.200 ataques cibernéticos por semana, estimam vendors

Ransomware Cactus mira ataques a varejistas e setor financeiro, aponta pesquisa

Ataques de ransomware caem para 44% no Brasil, mas ações direcionadas preocupam

Brasil e Japão assinam memorando sobre cooperação em Cibersegurança

Colunas & Blogs

Avatar photo
Urgência na Proatividade: Uma Análise dos Principais Motivadores para Investimentos em SI na visão dos CISOs
Alex Amorim
Avatar photo
O Amanhecer do Superciclo Tecnológico: Remodelando Indústrias e Sociedades
Fabio Correa Xavier
Avatar photo
Caminhada (Não tão) solitária rumo à Segurança Digital
Rodrigo Jorge
Avatar photo
Altruísmo em Segurança da Informação
Luiz Firmino
Avatar photo
A caminho de uma Guerra Cibernética Mundial
Rangel Rodrigues
Avatar photo
Piloto Automático: por que o ser humano é o elo mais fraco em Cybersecurity?
Rui Borges
Avatar photo
Capacitação em Deep Learning e Inteligência Artificial para a Segurança Cibernética
Fabiana Tanaka

Conteúdos Relacionados

Security Report | Overview

Deepfakes: Como validar as vídeochamadas para escapar de golpes?

Especialistas da Check Point Software indicam dicas e truques, principalmente aos funcionários, que podem ser usados para verificar se as...
Leia Mais
  • Redação
  • maio 7, 2024
Security Report | Overview

Operadoras de seguro cibernético aprimoram cálculo de risco com IA

A análise de risco cibernético de uma empresa no momento de contratar um seguro Cyber é mais um dos casos...
Leia Mais
  • Redação
  • maio 7, 2024
Security Report | Overview

PMEs são alvos de 1.200 ataques cibernéticos por semana, estimam vendors

Setores de varejo e atacado e consultoria tiveram aumentos significativos em relação ao ano anterior, com acréscimo de mais de...
Leia Mais
  • Redação
  • maio 7, 2024
Security Report | Overview

Ransomware Cactus mira ataques a varejistas e setor financeiro, aponta pesquisa

Novo boletim publicado pela ISH com mais informações sobre o grupo indica que o grupo cibercriminosos é conhecido por utilizar...
Leia Mais
  • Redação
  • maio 6, 2024

Maior portal de Segurança da Informação e Cibernética do Brasil

Linkedin-in Instagram Facebook-f Flickr

Sua marca no único portal de Segurança da Informação e Cyber Security do País

Seja um patrocinador

Inscreva-se na nossa Newsletter

Security Leaders
Próximos Eventos
Eventos realizados
Security Report
TVSecurity
Executive Report
Decision Report
Quem somos
Política de Privacidade
Quero patrocinar
Contato
Home
© 2024 Security Leader. Todos os Direitos Reservados. Agência Unit