Servidores VPN sem patch atingidos por aparentes grupos iranianos de APT

Os pesquisadores de segurança alertam desde agosto passado que os invasores invadiram servidores VPN sem patch para obter acesso remoto às redes corporativas. Agora, a empresa de segurança ClearSky diz que pelo menos três grupos avançados de ameaças persistentes, todos com aparentes vínculos com o governo iraniano, estão se juntando à briga e atingindo servidores VPN sem remendo Fortinet, Pulse Secure e Palo Alto Networks e gateways remotos Citrix. Consulte também: Guia definitivo para a prevenção de fraudes da próxima geração A campanha em andamento, que os pesquisadores da ClearSky chamam de "Fox Kitten", tem como alvo vários setores, incluindo TI, telecomunicações, petróleo e gás, aviação e segurança - bem como várias agências governamentais, de acordo com um novo relatório da ClearSky. Pesquisadores dizem ter visto agressores atingindo alvos nos EUA, Israel, Austrália, Arábia Saudita, Líbano, Kuwait, Emirados Árabes Unidos e vários países europeus. O objetivo de plantar backdoors em servidores VPN e software de acesso remoto é roubar dados e manter uma presença de longo prazo, de acordo com o ClearSky, que afirma que a campanha foi descoberta pela empresa de segurança cibernética Dragos, que se refere a esses ataques como parisiense. "Depois de violar as organizações, os atacantes geralmente mantêm uma redundância operacional e de base instalando e criando vários outros pontos de acesso à rede corporativa principal", afirmam os pesquisadores do ClearSky. "Como resultado, identificar e fechar um ponto de acesso não necessariamente nega a capacidade de realizar operações dentro da rede". O relatório do ClearSky observa que pelo menos um dos grupos APT aparentemente vinculados à campanha Fox Kitten pode ter tentado plantar malware em redes vulneráveis. Em particular, os pesquisadores viram algumas tentativas de instalar malware chamado ZeroClear e Dustman, que são "limpadores" que podem destruir redes e dados (veja: Limpe a ameaça de ataques de limpador). Embora o relatório do ClearSky observe que a campanha Fox Kitten permitiu o plantio de backdoors e a coleta de dados, não está claro se algum dos grupos do APT usou essas vulnerabilidades com sucesso para espalhar o malware do limpador pelas redes infectadas. Servidores VPN sem patch: ainda em risco Os avisos sobre os aparentes ataques iranianos da APT seguem repetidos e persistentes avisos de especialistas em segurança de que as organizações devem corrigir várias falhas críticas em vários dispositivos. Os patches necessários estão disponíveis há muito tempo. O Pulse Secure lançou seus patches para o Pulse Connect Secure, anteriormente conhecido como Juniper SSL Private Network, em abril de 2019. Em abril e maio do ano passado, a Fortinet lançou atualizações para corrigir as falhas no FortiOS. Enquanto isso, a Palo Alto emitiu seus patches em 17 de julho de 2019. Mas as organizações estão se movendo lentamente. Em agosto de 2019, tanto a Troy Mursch, da empresa de inteligência de ameaças Bad Packets, com base em Chicago, quanto o pesquisador de segurança britânico Kevin Beaumont, disseram estar acompanhando um aumento nas investigações e atividades de hackers visando um grande número de servidores VPN SSL ainda sem patch (consulte : Hackers atingem VPNs sem pulso Pulse Secure e Fortinet SSL). Posteriormente, a Microsoft avisou que vinha rastreando ataques que exploram as falhas lançadas por suspeitos de grupos chineses de APT desde pelo menos julho de 2019. Em outubro de 2019, a Agência de Segurança Nacional dos EUA e o Centro Nacional de Segurança Cibernética da Grã-Bretanha emitiram alertas, alertando o país Os Estados-Membros estavam alvejando dispositivos Pulse Secure, Palo Alto e Fortinet sem patch (veja: NSA é a mais recente agência de inteligência a emitir um alarme de patch VPN) As falhas específicas que precisam ser corrigidas incluem CVE-2019-11510 nos servidores VPN SSL da Pulse Secure, CVE-2018-13379 nos servidores VPN SSL da Fortigate e CVE-2019-1579 nos servidores VPN da Palo Alto Network, todos os quais ClearSky diz Fox Kitten agora está explorando. No mês passado, a Citrix lançou patches para corrigir falhas graves em seus produtos Application Delivery Controller e Gateway, que surgiram no final de 2019 (consulte: A Citrix lança os primeiros patches para corrigir a vulnerabilidade grave). O ClearSky diz que a campanha Fox Kitten também está mirando essas falhas em dispositivos Citrix não corrigidos. Apesar dos avisos repetidos, os pesquisadores de segurança continuam catalogando milhares de servidores e dispositivos sem patches em todo o mundo. Essas vulnerabilidades foram usadas anteriormente por outros grupos de crimes cibernéticos para espalhar malware, como o ransomware, mas os três grupos iranianos aparentes começaram a usar essas falhas para seus próprios fins - a saber, tentar roubar dados, diz o ClearSky (consulte: Patch ou Perecer: servidores VPN atingidos por atacantes de Ransomware). "O vetor de ataque mais bem-sucedido e significativo usado pelos grupos iranianos de APT nos últimos três anos foi a exploração de vulnerabilidades conhecidas em sistemas com serviços VPN sem remendo e [protocolo de desktop remoto], a fim de se infiltrar e assumir o controle de informações corporativas críticas armazenamento ", de acordo com o relatório ClearSky. Métodos de ataque Os aparentes grupos iranianos de APT estão usando as vulnerabilidades na VPN e nos servidores e sistemas remotos para conquistar uma posição nas redes, afirmam os pesquisadores do ClearSky. A partir daí, os atacantes usam o encapsulamento SSH para criar links via protocolo de área de trabalho remota e, em seguida, criptografam e disfarçam o tráfego malicioso para parecer o tráfego normal da rede, de acordo com o relatório. Os atacantes começam a mapear a rede, usando uma combinação de ferramentas personalizadas e de código aberto para auxiliar na movimentação da infraestrutura e na comunicação com servidores de comando e controle, afirmam os pesquisadores do ClearSky. Uma das ferramentas maliciosas personalizadas que o pesquisador encontrou é chamada STSRCheck, usada para verificar portas abertas, enquanto outra é chamada POWSSHNET, que é a porta dos fundos que permite que o tráfego da rede flua através do túnel SSH, de acordo com o relatório. Os pesquisadores também observam que os atacantes às vezes usam uma ferramenta de administração do sistema, como Putty ou Plink - projetada para ajudar na conexão remota à rede - para permanecer conectada à rede. Laços com o Irã O relatório ClearSky identifica três grupos da APT que parecem estar por trás dos ataques em andamento do Fox Kitten. Os pesquisadores dizem que há uma "probabilidade média-alta" de que um grupo de ataque seja o APT34, também conhecido como OilRig, que foi vinculado a várias campanhas ao longo dos anos, incluindo a disseminação de malware limpador contra instalações de petróleo e gás (veja: Wiper Malware Metas das empresas de energia do Oriente Médio: relatório). O relatório também observa que há uma probabilidade "média" de que outros dois grupos estejam envolvidos na exploração dessas vulnerabilidades do servidor VPN: o APT33, também conhecido como Elfin, e o APT39, que às vezes é chamado Chafer. Vários pesquisadores de segurança disseram em relatórios anteriores que esses três grupos aparentemente têm vínculos com o governo iraniano (veja: Hackers cada vez mais apalpam a rede elétrica norte-americana).

Mais informações:

https://www.bankinfosecurity.com/apt-groups-planting-backdoors-report-a-13733