Rede federal dos EUA hackeada – hackers APT obtiveram acesso ao controlador de domínio

Os hackers iranianos do APT lançaram um ataque à organização do Poder Executivo Federal Civil (FCEB) explorando a vulnerabilidade Log4Shell em um servidor VMware Horizon não corrigido.

CVE-2021-44228  (log4Shell) era uma vulnerabilidade de dia zero no  Log4j , uma popular estrutura de registro Java envolvendo execução de código arbitrário e afeta uma ampla gama de produtos, incluindo o VMware Horizon.

A CISA acredita que o ataque foi iniciado por hackers apoiados pelo governo do Irã que instalaram o software de mineração de criptografia XMRig, moveram-se lateralmente para o controlador de domínio (DC), comprometeram credenciais e implantaram proxies reversos Ngrok em vários hosts para manter a persistência.

Em abril de 2022, a CISA realizou uma investigação de rotina e suspeitou de atividades APT maliciosas na rede FCEB com a ajuda do EINSTEIN, um sistema de detecção de intrusão (IDS) em todo o FCEB.

Investigação de Atividades APT

Durante a investigação, os pesquisadores encontraram tráfego bidirecional entre a rede e um endereço IP malicioso conhecido associado à exploração da vulnerabilidade Log4Shell (CVE-2021-44228) nos servidores VMware Horizon.

Como resultado, houve uma atividade HTTPS iniciada do endereço IP 51.89.181[.]64 para o servidor VMware da organização, uma análise mais aprofundada revela que o IP associado ao servidor Lightweight Directory Access Protocol (LDAP) que foi operado por ameaças atores para a implantação do Log4Shell.

“Após a atividade HTTPS, a CISA observou uma suspeita de retorno de chamada LDAP na porta 443 para este endereço IP. A CISA também observou uma consulta de DNS para us‐nation‐ny[.]cf que foi resolvida em 51.89.181[.]64 quando o servidor da vítima estava retornando esse retorno de chamada Log4Shell LDAP para o servidor dos atores.” disse no relatório da CISA .

Os pesquisadores também encontraram um retorno de chamada LDAP para o IP 51.89.181[.]64 na porta 443, após a exploração bem-sucedida da vulnerabilidade Log4Shell , os agentes de ameaças comprometeram o controlador de domínio.

Análise técnica

Atores de ameaças APT iranianos inicialmente encontraram um servidor VMware Horizon sem patch que foi implantado pela organização e estabeleceram uma conexão do endereço IP malicioso 182.54.217[.]2 com duração de 17,6 segundos.

Para evitar a detecção do Windows Defender , os invasores adicionaram a regra de exclusão ao WD usando os seguintes comandos do PowerShell:

powershell try{Add-MpPreference -ExclusionPath ‘C:\’; Write-Host ‘exclusão adicionada’} catch {Write-Host ‘falha na adição de exclusão’}; powershell -enc “carga codificada $BASE64 para baixar o próximo estágio e executá-lo”

Adicionando a regra de exclusão, os invasores escapam da verificação de vírus e baixam as ferramentas adicionais para  c:\drive .

Posteriormente, uma comunicação com o servidor C2 será estabelecida e explorará a carga útil, em seguida, baixará mdeploy.text de 182.54.217[.]2/mdepoy.txt para C:\users\public\mde.ps1.

Logo após o download do arquivo.zip de 182.54.217[.]2, o mde.ps1 será apagado do disco para reduzir o risco de ser capturado pelo mecanismo AV.

Quando os pesquisadores se aprofundaram no arquivo, file.zip carregava um software de mineração de criptografia e também baixou cerca de 30 megabytes de arquivos do  servidor transfer[.]sh  que contém as seguintes ferramentas.

• PsExec – uma ferramenta assinada pela Microsoft para administradores de sistema.
• Mimikatz – uma ferramenta de roubo de credenciais.
• Ngrok – uma ferramenta de proxy reverso

A ferramenta Mimikatz foi usada contra o VDI-KMS para coletar credenciais e criou uma conta de administrador de domínio não autorizada por meio da qual os invasores aproveitam o RDP e obtêm controle sobre vários hosts na rede.

Mais tarde, eles desativaram manualmente o Windows Defender com a ajuda da GUI e, eventualmente, implantaram executáveis ​​e arquivos de configuração do Ngrok.

“Os agentes de ameaças conseguiram implantar o Ngrok em vários hosts para garantir a persistência do Ngrok caso perdessem o acesso a uma máquina durante uma reinicialização de rotina.”

Logo após os invasores estabelecerem uma base profunda na rede, os invasores executaram o comando PowerShell no diretório ativo para obter acesso a todas as máquinas associadas ao domínio, e essa operação foi executada com sucesso em um momento lateral após obterem o acesso do controlador de domínio .

Por fim, os agentes de ameaças alteraram a senha do administrador local como um backup se o acesso de administrador de domínio não autorizado for detectado e encerrado.

Mitigação:

A CISA e o FBI aconselharam todas as organizações a aplicar imediatamente os patches disponíveis e seguir as mitigações:

1. Instale compilações atualizadas para garantir que os sistemas VMware Horizon e UAG afetados sejam atualizados para a versão mais recente.
2. Mantenha todos os softwares atualizados
3. Minimize a superfície de ataque voltada para a Internet
4. Use as práticas recomendadas para gerenciamento de identidade e acesso (IAM)
5. Controladores de domínio de auditoria para log
6. Crie uma lista de negação de credenciais comprometidas conhecidas
7. Credenciais seguras restringindo onde as contas e credenciais podem ser usadas.

Fonte: https://cybersecuritynews.com/