Ataque à Cadeia de Suprimentos do Passwordstate Expõe 29 Mil Empresas ao Risco de Comprometimento
Índice:
O produtor de software australiano Click Studios foi vítima de uma violação de segurança que resultou em um ataque à cadeia de suprimentos. Em abril de 2020, adversários comprometeram com sucesso o mecanismo de atualização do aplicativo de gerenciamento de senhas enterprise Passwordstate da Click Studios para entregar o malware Moserpass nos dispositivos dos usuários. O número de clientes afetados é atualmente desconhecido, no entanto, o fornecedor afirma que a taxa de infecção é muito baixa. Ainda assim, a investigação está em andamento, e o número final de vítimas pode aumentar. Até o momento, mais de 29 mil empresas em todo o mundo dependem do Passwordstate para gerenciar seus processos diários, incluindo empresas Fortune-500, instituições governamentais e agências de defesa.
Detalhes do Ataque à Cadeia de Suprimentos
O comunicado oficial da Click Studios revela que a violação de segurança ocorreu entre as 8:33 PM UTC do dia 20 de abril de 2021 e as 00:30 AM UTC do dia 22 de abril de 2021. Qualquer cliente que tenha atualizado o serviço durante esse período pode ter seus sistemas corporativos em risco.
De acordo com a pesquisa do CSIS Group, uma empresa de segurança que investiga o ataque, atores maliciosos conseguiram comprometer um arquivo diretor localizado no site da Click Studios e interferir com o mecanismo de atualização do aplicativo Passwordstate. Em particular, hackers modificaram a atualização com uma biblioteca maliciosa “Moserware.SecretSplitter.dll” que foi inserida com a ajuda de um pequeno pedaço de código chamado “Loader.” Como resultado, a atualização regular entregou o malware Moserpass às vítimas na forma de um arquivo “Passwordstate_upgrade.zip” . Notavelmente, o DLL bruto dependia de uma Rede de Distribuição de Conteúdo (CND) que foi encerrada em 22 de abril de 2021, às 7 AM UTC.
Funcionalidade Maliciosa do Moserpass
Após a infecção, o malware Moserpass é capaz de coletar dados sensíveis do sistema e do Passwordstate, que são então enviados para o servidor de comando e controle (C&C) sob o controle do atacante. Especificamente, este software malicioso extrai detalhes como nome do computador, nome do usuário, nome do domínio, nome do processo atual, ID do processo atual, todos os nomes de serviços em execução, endereço do servidor proxy de instalação do Passwordstate, credenciais do Passwordstate e mais. No entanto, o Nome do Domínio e o Nome do Host não são coletados como parte deste processo malicioso. Também, não há evidências de chaves de criptografia ou strings de conexão de banco de dados sendo transferidas para o C&C do atacante. Após coletar e enviar os dados, o malware Moserpass dorme por 24 horas e reinicia sua atividade maliciosa.
É importante notar que os clientes que têm suas credenciais do Passwordstate criptografadas são considerados seguros, já que o Moserpass não possui capacidade de capturar esses dados.
Detecção e Mitigação
A Click Studios pede que seus clientes iniciem uma mudança de senha o mais rápido possível. Além disso, o fornecedor emitiu um aviso detalhado fornecendo passos relevantes de mitigação.
Para detectar possíveis atividades maliciosas e proteger sua infraestrutura organizacional, os clientes da SOC Prime podem baixar um conjunto das últimas regras de detecção publicadas no Threat Detection Marketplace. Todo o conteúdo está mapeado diretamente para o framework MITRE ATT&CK® e contém as referências e descrições correspondentes:
- [Ataque à cadeia de suprimentos] Identificar Software PasswordState Possivelmente Comprometido (via linha de comando)
- [Ataque à cadeia de suprimentos] Identificar Software PasswordState Possivelmente Comprometido (via carregamento de imagem)
- [Ataque à cadeia de suprimentos] Identificar Software PasswordState Possivelmente Comprometido (via proxy)
Inscreva-se no Theat Detection Marketplace gratuitamente para aumentar suas capacidades de defesa cibernética. Nossa biblioteca de conteúdo SOC contém mais de 100 mil regras de detecção e resposta, parsers, consultas de pesquisa e outros conteúdos relevantes para SOC, para que você possa lidar com o número crescente de ciberataques. Acompanhando de perto as últimas tendências em cibersegurança e deseja participar de atividades de caçada a ameaças? Aproveite a oportunidade de contribuir para a segurança mundial ingressando no nosso Programa de Recompensa por Ameaças.
Ir para a Plataforma Participar do Programa de Recompensa por Ameaças
