Notícias de dispositivos móveis, gadgets, aplicativos Android

Hackers transformam servidores Exchange em comandos e malwares Centros de Controle

Turla, tamb√©m conhecido como Secret Blizzard, KRYPTON e UAC-0003, √© um grupo de Amea√ßa Persistente Avan√ßada (APT) associado ao Servi√ßo de Seguran√ßa Federal (FSB) da R√ļssia.

Este grupo ganhou fama pelas suas atividades sofisticadas e persistentes de ameaças cibernéticas.

Os atores da ameaça, conhecidos por visarem interesses ocidentais, estiveram recentemente envolvidos na perturbação da botnet de ciberespionagem Snake através da Operação MEDUSA, entre outros ataques.

Os pesquisadores de seguran√ßa cibern√©tica da Microsoft Threat Intelligence e a equipe governamental de resposta a emerg√™ncias inform√°ticas da Ucr√Ęnia CERT-UA recentemente avisado sobre o Turla visando a ind√ļstria de defesa e servidores Microsoft Exchange com CAPIBAR (tamb√©m conhecido como DeliveryCheck, GAMEDAY), um novo malware em seus ataques recentes.

Microsoft alerta sobre ataques ao Exchange Server

Aqui abaixo, mencionamos todos os tweets que o Microsoft Threat Intelligence tweeta: ‚Äď

Hackers visando servidores Exchange

Os e-mails de phishing com macros maliciosas contidas nos anexos XLSM do Excel iniciam os ataques, e a ativação de macros executa um comando do PowerShell, imitando um atualizador do navegador Firefox por meio de uma tarefa agendada.

N√≥s recomendamos:  10 melhores softwares de agendamento de recursos em 2023 (gratuito e pago)

Para a implantação de cargas maliciosas e execução dos comandos recebidos, a tarefa agendada baixa o malware CAPIBAR. Embora esta tarefa também conecte o malware ao servidor C&C sob o controle do agente da ameaça após lançá-lo na memória.

O backdoor permite que os agentes de ameaças exfiltrem dados via Rclone após infectar dispositivos. Notavelmente, o CAPIBAR transforma o servidor Microsoft Exchange em um servidor de comando e controle, diferenciando-o de outras ameaças.

Com a ajuda de um m√≥dulo PowerShell, ‚ÄúDesired State Configuration‚ÄĚ, o componente do lado do servidor Microsoft Exchange √© instalado.

Embora este m√≥dulo seja usado por administradores para aplicar configura√ß√Ķes de servidor padronizadas aos dispositivos automaticamente, criando modelos padr√£o para v√°rios dispositivos com configura√ß√Ķes de natureza id√™ntica.

Os atores de ameaças Turla usam DSC para carregar automaticamente um arquivo codificado em base64 Windows executável, convertendo o Exchange em um servidor de malware. Além disso, a Microsoft e o CERT-UA também notaram a queda do backdoor KAZUAR.

Além disso, esta ferramenta de ciberespionagem permite que os agentes de ameaças realizem diversas atividades ilícitas, como executar JavaScript, extrair dados de logs de eventos e roubar credenciais de vários programas, como:-

  • Navegadores
  • Clientes FTP
  • Software VPN
  • KeepPass
  • Azul
  • AWS
  • Panorama

Com base nas t√°ticas e t√©cnicas distintas de Turla e no uso do KAZUAR, esta atividade (UAC-0024) est√° firmemente ligada ao grupo liderado pelo FSB da R√ļssia (UAC-0003, KRYPTON, Secret Blizzard). Al√©m disso, todas as amostras maliciosas foram distribu√≠das para auxiliar na detec√ß√£o de amea√ßas.

Table of Contents