Detecção de Ataques Storm-0978: Hackers ligados à Rússia Exploram CVE-2023-36884 para Espalhar um Backdoor Visando Organizações do Setor de Defesa e Público
Índice:
Pesquisadores de cibersegurança revelaram uma nova operação ofensiva lançada pelo grupo Storm-0978 apoiado pela Rússia, também conhecido como DEV-0978, que também é rastreado como RomCom com base no nome do nefasto backdoor com o qual estão associados. Nesta campanha, os hackers estão mirando organizações de defesa e autoridades públicas na Europa e na América do Norte, aproveitando o vetor de ataque de phishing ao explorar uma vulnerabilidade RCE CVE-2023-36884 e iscas relacionadas ao Congresso Mundial Ucraniano.
Detectando Ataques do Storm-0978
Com o aumento dos volumes de operações maliciosas atribuídas ao grupo de hackers Storm-0978 apoiado pela Rússia, conhecido por sua série de ataques contra a Ucrânia e seus aliados, os defensores estão buscando maneiras de fortalecer sua resiliência cibernética. Para ajudar as organizações a detectarem oportunamente a mais recente campanha de phishing relacionada ao abuso da falha CVE-2023-36884, a equipe da SOC Prime seleciona uma regra Sigma relevante disponível através de um link abaixo:
Processo Filho MSOffice Suspeito (via linha de comando)
Esta regra Sigma é adaptada para mais de 20 soluções SIEM, EDR, XDR e Data Lake e mapeada para o MITRE ATT&CK abordando as táticas de Acesso Inicial e Execução, juntamente com técnicas relevantes de Phishing (T1566) e Exploração para Execução do Cliente (T1203).
Para obter a lista abrangente de regras Sigma para detecção de ataque do Storm-0978, clique no Explorar Detecções botão abaixo. Para uma pesquisa simplificada de conteúdo de detecção, todas as regras Sigma relevantes são filtradas pelas tags personalizadas “Storm-0978” ou “DEV-0978”. Obtenha insights sobre o contexto profundo da ameaça cibernética por trás dos ataques do grupo, confira nossas referências CTI e ATT&CK, explore mitigações e mergulhe em metadados mais acionáveis para economizar minutos em sua pesquisa de ameaças.
Os defensores cibernéticos também podem acessar toda a pilha de regras Sigma para detecção do RomCom para defender proativamente contra quaisquer ameaças existentes e emergentes associadas a este malware e vinculadas aos adversários responsáveis por sua distribuição.
Análise dos Ataques do Storm-0978: Atividade de Ciber-espionagem e Ransomware
A equipe de pesquisa da Microsoft descobriu uma nova campanha de phishing do grupo Storm-0978 também conhecido como DEV-0978 visando organizações de defesa e entidades do setor público. Os atores da ameaça abusam da zero-day CVE-2023-36884 explorada em campo, a vulnerabilidade RCE no Microsoft Windows e Office com uma pontuação CVSS de 8.3, que foi adicionada ao Patch de julho de 2023 da Microsoft. Na mais recente campanha do adversário, os atacantes aproveitam as iscas vinculadas ao Congresso Mundial Ucraniano.
Storm-0978 é um grupo ligado à Rússia que tem lançado múltiplas operações de ransomware e campanhas maliciosas voltadas para a coleta de inteligência e roubo de dados sensíveis. O coletivo de hackers também é conhecido como os desenvolvedores e distribuidores do backdoor RomCom. No outono de 2022, os órgãos do estado ucraniano também foram alvo da infecção por malware RomCom devido a uma campanha de phishing direcionada relatada pela CERT-UA. O DEV-0978 também é rastreado como RomCom com base nas cepas maliciosas correspondentes pelas quais são responsáveis. Na mais recente campanha de verão de 2023, a exploração da CVE-2023-36884 leva à propagação de um backdoor semelhante ao RomCom.
A atividade do Storm-0978 revela principalmente motivos financeiros e de ciber-espionagem por trás de suas operações ofensivas, com diferentes setores industriais usados como alvos primários. Quanto às campanhas relacionadas à espionagem, observa-se que os atores da ameaça Storm-0978 têm como alvo órgãos estatais e organizações militares na Ucrânia, assim como seus aliados, abusando do vetor de ataque de phishing e explorando tópicos políticos relacionados à Ucrânia como iscas. Enquanto isso, a atividade de ransomware do Storm-0978 tem como alvo principal o setor de telecomunicações e entidades financeiras.
Quanto aos TTPs usados nos ataques, o grupo usa versões trojanizadas de software legítimo para implantar o malware RomCom e registra domínios maliciosos disfarçados como utilitários legítimos.
Os operadores do RomCom lançaram um conjunto de operações de ciber-espionagem desde a segunda metade de 2022. Além da mais recente campanha de junho que armava o CVE-2023-36884, os atores do Storm-0978 também estavam por trás de uma onda de ataques de phishing contra oficiais ucranianos, direcionando especificamente os usuários do sistema DELTA e espalhando o malware FateGrab/StealDeal no início de 2022. Outra campanha adversária ocorreu em meados do outono de 2022, com o grupo gerando sites de instaladores fraudulentos visando organizações militares e do setor público ucraniano e espalhando o RomCom para obter credenciais de usuário.
A Microsoft emitiu uma lista de medidas de mitigação recomendadas para ajudar as organizações a remediar a ameaça relacionada às tentativas de exploração do CVE-2023-36884. As empresas que utilizam o Microsoft Defender para Office não serão impactadas, no entanto, outros clientes podem enfrentar os riscos de possíveis ataques. Aproveitar a Regra de Redução de Superfície de Ataque que impede que todos os aplicativos do Office gerem processos filhos dificultará as tentativas de exploração adversária. Outro passo de mitigação que pode ser aplicado envolve a configuração da chave de registro FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION.
Explore a Plataforma SOC Prime para defesa cibernética coletiva para acessar o maior repositório mundial de regras Sigma e equipar sua equipe com Uncoder AI e Attack Detective para tornar seus procedimentos de engenharia de detecção mais rápidos e simples, identificar oportunamente pontos cegos em sua infraestrutura e priorizar suas operações de caça para uma postura de cibersegurança à prova de balas.
