Dark Halo APT Está por Trás do Hack da SolarWinds, Violação da Malwarebytes
Índice:
Um novo grupo APT sofisticado, apelidado de Dark Halo (UNC2452, SolarStrom), surgiu recentemente na arena de cibersegurança, obtendo manchetes de destaque nos últimos meses. Pesquisadores acreditam que este ator avançado pode estar por trás do histórico hack do SolarWinds, assim como do ataque contra o fornecedor de segurança Malwarebytes.
Quem é o Dark Halo?
Especialistas em segurança da Volexity estimam que o Dark Halo iniciou suas operações maliciosas no final de 2019. O grupo lançou vários ataques contra um think tank americano não identificado para roubar os e-mails de seus executivos seniores. Presumivelmente, o Dark Halo procurava por dados valiosos para aprimorar futuras operações de reconhecimento contra grandes fornecedores e organizações governamentais dos EUA. Notavelmente, os atores da ameaça aplicaram um rico conjunto de ferramentas maliciosas, incluindo ferramentas de Red Team e amostras sofisticadas de malware. No entanto, tais instrumentos foram usados ocasionalmente e apenas caso outras oportunidades permanecessem bloqueadas. A seletividade nos métodos é explicada pela intenção do APT de permanecer fora do radar durante suas atividades de roubo de dados.
A Volexity descreve três ataques sequenciais contra o think tank dos EUA que ocorreram durante o terceiro trimestre de 2019 – segundo trimestre de 2020. Inicialmente, membros do Dark Halo usaram implantes sofisticados e Trojans de backdoor para penetrar na organização e passar despercebidos. Após serem descobertos e bloqueados, os adversários exploraram uma falha de execução remota no Painel de Controle do Microsoft Exchange (CVE-2020-0688) para restaurar o acesso aos ativos organizacionais. Finalmente, o Dark Halo comprometeu o fornecedor pela terceira vez por meio de atualizações maliciosamente modificadas do SolarWinds Orion.
A pesquisa da Volexity ressoa de perto com as conclusõesda FireEye, permitindo que os pesquisadores estimem que o Dark Halo é o mesmo grupo UNC2452 responsável pelo ataque SolarWinds. Embora a origem dos hackers ainda seja incerta, a inteligência dos EUA suspeita que o Dark Halo está trabalhando em nome do governo russo.
Rotina de Ataque do Dark Halo
Pesquisadores de segurança detalham algumas abordagens maliciosas que o Dark Halo aplicou para alcançar seus objetivos. Particularmente, os adversários usaram um método interessante para extrair dados de e-mail do Outlook Web App (OWA) durante suas campanhas. Embora as caixas de correio visadas estivessem protegidas com autenticação multifator Duo, os cibercriminosos conseguiram comprometer as contas de e-mail simplesmente inserindo os detalhes de login roubados. O segundo fator não foi acionado neste caso, e o servidor de autenticação Duo não registrou nenhuma tentativa de autenticação. A investigação revelou que o Dark Halo conseguiu capturar a chave secreta de integração do Duo (akey) do servidor OWA. Além disso, eles usaram esta chave para dominar o cookie duo-sid e apresentá-lo ao servidor como uma instância válida.
Quanto às atividades de reconhecimento, o Dark Halo evidentemente confiava nos servidores Exchange. Especificamente, especialistas em segurança identificaram que os hackers usaram o Exchange para recuperar uma lista de usuários no servidor, verificar seu papel atual e obter dados valiosos sobre o Diretório Virtual configurado. Além disso, os hackers utilizaram a ferramenta de linha de comando AdFind para capturar dados do Active Directory.
Especialistas em segurança observam que os hackers prestaram muita atenção em disfarçar suas ações maliciosas. Supostamente, os adversários apagaram todos os logs afiliados das aplicações visadas e limparam quaisquer vestígios de seus comandos. Tal comportamento prova novamente a intenção dos hackers em relação ao reconhecimento, não destruição, e seu desejo de passar despercebidos enquanto procuram por pedaços valiosos de informação.
Hack do SolarWinds
Os pesquisadores afirmam com confiança que o grupo APT Dark Halo é responsável pelo ataque marcante do SolarWinds. O grupo comprometeu dezenas de instituições públicas e privadas ao redor do mundo por meio de atualizações Trojanizadas do SolarWinds Orion. Como em campanhas descritas anteriormente, os atacantes usaram várias ferramentas para camuflar suas atividades. Por exemplo, pesquisadores identificaram duas linhagens maliciosas, chamadas Teardrop e epoch-making attack. The group compromised dozens of public and private institutions around the globe via Trojanized SolarWinds Orion updates. As in previously described campaigns, attackers used multiple tools to camouflage their activities. For instance, researchers identified two malicious strains, dubbed Teardrop and Raindrop, que entregaram o Cobalt Strike Beacon aos ambientes comprometidos e ampliaram a capacidade dos atacantes de se mover lateralmente pela rede. A investigação ainda está em andamento, com novos detalhes sendo revelados constantemente. No entanto, todos os especialistas concordam que o Dark Halo é um grupo de ameaça avançado, provavelmente patrocinado pelo Estado. Os hackers podem suportar uma rotina de ataque complexa para roubar dados sensíveis das organizações de seu interesse.
Violação do Malwarebytes
Em 19 de janeiro de 2021, outra empresa de segurança, Malwarebytes, anunciou que caiu vítima do ataque do Dark Halo. De acordo com a declaração oficial do CEO da Malwarebytes, hackers conseguiram penetrar em várias contas de e-mail de empregados da empresa. Supostamente, os adversários confiaram em uma falha de segurança no Azure Active Directory e em um aplicativo de segurança adormecido do Office 365 para capturar os dados de e-mail. Malwarebytes afirma que esta violação não está relacionada ao hack do SolarWinds, já que a empresa não utiliza nenhum software do SolarWinds em sua rotina diária. Além disso, a empresa diz que os hackers não acessaram nenhum de seus ambientes, então todos os produtos continuam seguros para uso.
O comprometimento do Malwarebytes promove o número de fornecedores de segurança comprometidos pelo Dark Halo para quatro, com FireEye, Microsoft e CrowdStrike já nessa lista.
Detecção do Dark Halo
Para detectar possível atividade do Dark Halo, a equipe SOC Prime de engenheiros de caça a ameaças lançou uma regra Sigma dedicada:
https://tdm.socprime.com/tdm/info/FYiZuTI6GcQ2/fyKSZHYBR-lx4sDxgRZ7/
A regra tem traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
EDR: Carbon Black, Microsoft Defender ATP
MITRE ATT&CK:
Táticas: Descoberta
Técnicas: Descoberta de Conta (T1087)
Além disso, você pode baixar um Pacote de Regras da nossa equipe que contém regras de correlação em tempo real para QRadar para detectar a presença do Dark Halo (UNC2452) dentro de sua rede:
https://tdm.socprime.com/tdm/info/nDm8Ct8egXfC/gScmbHYBR-lx4sDxOBVC/
Mais regras relacionadas à atividade maliciosa do Dark Halo você pode encontrar em nossos posts de blog dedicados à violação da FireEye , análise do backdoor SUNBURST, e visão geral de malware. Detalhes adicionais sobre o incidente SolarWinds você pode conferir em nossos posts dedicados ao Raindrop malware overview. Additional details on the SolarWinds incident you might check in our posts devoted to the ataque Golden SAML e ao backdoor SUPERNOVA. backdoor.
Procurando pelo melhor conteúdo SOC para aprimorar suas capacidades de detecção de ameaças? Inscreva-se no Threat Detection Marketplace, uma plataforma líder da indústria de Conteúdo de Detecção de Ameaças como Serviço (CaaS) que ajuda equipes de SecOps a avançarem em suas análises de segurança. Quer produzir suas próprias regras Sigma e criar conteúdo de detecção dedicado? Junte-se ao nosso programa Threat Bounty para compartilhar seus insights com a comunidade SOC Prime!
