Detecção do Trojan FoxBlade: Microsoft Revela Novo Malware Destrutivo Visando Infraestrutura Ucraniana
Índice:
Em 23 de fevereiro de 2022, antes da invasão ofensiva da Rússia à Ucrânia, uma nova onda de ameaças digitais atingiu a Ucrânia logo após uma avalanche de ciberataques envolvendo o apagamento de dados WhisperGate and HermeticWiper cepas de malware direcionadas a entidades ucranianas. O Centro de Inteligência de Segurança da Microsoft descobriu uma série de ataques aproveitando um novo malware FoxBlade direcionado a vários setores, incluindo finanças, agricultura, serviços de resposta a emergências, o setor de energia e uma ampla gama de empresas — destinados a desestabilizar totalmente a infraestrutura civil e de TI do país. Os esforços cibernéticos visavam roubar uma ampla gama de dados sensíveis e conjuntos de dados do governo.
Detecção e Mitigação do Malware FoxBlade
Para detectar a atividade suspeita associada ao malware FoxBlade, você pode baixar algumas regras Sigma criadas por nosso desenvolvedor Threat Bounty, Osman Demir. Ambas as regras estão disponíveis na plataforma Detection as Code da SOC Prime. Novos usuários e usuários atuais podem acessar o conteúdo de detecção cadastrando-se na plataforma ou usando sua conta existente:
Malware FoxBlade Alvejando a Ucrânia (via process_creation)
Esta detecção possui traduções para as seguintes plataformas SIEM, EDR e XDR: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, SentinelOne, Microsoft Defender for Endpoint, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix.
Novo malware FoxBlade usado para alvejamento da Ucrânia (via registry_event)
Esta detecção baseada em Sigma possui traduções para as seguintes plataformas SIEM, EDR e XDR: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, AWS OpenSearch.
Ambas as regras estão alinhadas com o último framework MITRE ATT&CK® v.10, abordando as técnicas Impair Defenses (T1562) e Defense Evasion (TA0005), incluindo a sub-técnica Disable or Modify Tools (T1562.001).
Você também pode usar o software gratuito da Microsoft para se defender proativamente contra ataques FoxBlade e minimizar riscos na sua infraestrutura:
- Windows Defender ou Microsoft Security Essentials para Windows 7 e Windows Vista
- Microsoft Safety Scanner
Recomenda-se também que os profissionais de segurança executem uma varredura completa para detectar os padrões de comportamento malicioso relacionados ao malware FoxBlade e outras ameaças ocultas também.
Os usuários da SOC Prime podem obter acesso gratuito a toda a pilha de detecção para identificar ameaças cibernéticas ligadas à Rússia. Basta se inscrever ou fazer login em sua conta SOC Prime atual, selecionar Quick Hunt e aprofundar a busca por ameaças relacionadas em seu ambiente:
A lista completa de conteúdo de caça às ameaças para ciberataques apoiados pela Rússia
Análise do FoxBlade
Os primeiros detalhes sobre os ataques do trojan FoxBlade foram compartilhados pelo Centro de Inteligência de Ameaças da Microsoft (MSTIC) em 23 de fevereiro de 2022.
Um malware chamado FoxBlade é um trojan leve e um apagador de dados que se direcionou principalmente a serviços digitais civis na Ucrânia. Seu algoritmo de destruição de dados visa roubar credenciais e dados pessoais. Os atacantes exploraram principalmente uma vulnerabilidade conhecida no Microsoft SQL Server (CVE-2021-1636) para que todas as máquinas com versões não corrigidas do mesmo pudessem ser comprometidas.
Além disso, segundo a Microsoft, o FoxBlade expõe o dispositivo da vítima a ataques DDoS sem o conhecimento do proprietário. Embora os métodos de acesso inicial fossem diversos, os pesquisadores apontam que ao menos uma vez o wiper foi introduzido via Default Domain Policy, o que significa que provavelmente teve acesso ao servidor Active Directory do computador infectado.
Algumas análises adicionais são as seguintes:
- O malware usa uma exploração do Tomcat que executa um comando PowerShell.
- O carregador do wiper é um arquivo .exe assinado por um certificado emitido para Hermetica Digital Ltd.
- Este arquivo contém arquivos de driver de 32 bits e 64 bits compactados pelo algoritmo Lempel-Ziv.
- Os arquivos de driver são então assinados por um certificado emitido para o software legítimo EaseUS Partition Master. Os nomes dos arquivos de driver são gerados usando o ID do Processo do wiper.
- Por fim, o wiper reinicia o dispositivo da vítima, danificando o Master Boot Record (MBR) e tornando-o inoperável.
Junte-se à plataforma Detection as Code da SOC Prime para aprimorar suas capacidades de detecção de ameaças com o poder de uma comunidade global de especialistas em segurança cibernética. Você também pode enriquecer a experiência colaborativa contribuindo com a iniciativa de crowdsourcing da SOC Prime. Escreva e envie seus regras Sigma, publique-as em uma plataforma e receba recompensas recorrentes por sua contribuição.
