Los federales fueron golpeados con un ciberataque exitoso y datos robados.

Los federales fueron golpeados con un ciberataque exitoso y datos robados.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) emitió una alerta el jueves, sin nombrar a la agencia, pero brindando detalles técnicos del ataque.

Los piratas informáticos, dijeron, obtuvieron acceso inicial utilizando las credenciales legítimas de inicio de sesión de Microsoft Office 365 de los empleados para iniciar sesión en la computadora de una agencia de forma remota.

"El actor de la amenaza cibernética tenía credenciales de acceso válidas para las cuentas de Microsoft Office 365 (O365) y las cuentas de administrador de dominio de varios usuarios", según CISA. “Primero, el actor de amenazas inició sesión en la cuenta O365 de un usuario desde la dirección de Protocolo de Internet (IP) 91.219.236 [.] 166 y luego buscó páginas en un sitio de SharePoint y descargó un archivo. El actor de la amenaza cibernética se conectó varias veces mediante el Protocolo de control de transmisión (TCP) desde la dirección IP 185.86.151 [.] 223 al servidor de red privada virtual (VPN) de la organización víctima ".

En cuanto a ¿Cómo los atacantes lograron tener en sus manos las credenciales en primer lugar?, la investigación de CISA no arrojó una respuesta definitiva; sin embargo, especuló que podría haber sido el resultado de una explotación de vulnerabilidades que, según dijo, ha proliferado en las redes gubernamentales.

"Es posible que el ciberactor haya obtenido las credenciales de un servidor VPN de la agencia sin parches aprovechando una vulnerabilidad conocida, CVE-2019-11510, en Pulse Secure", según la alerta.

“CVE-2019-11510… permite la recuperación remota y no autenticada de archivos, incluidas las contraseñas. CISA ha observado una amplia explotación de CVE-2019-11510 en todo el gobierno federal”.

El parche se emitió en abril de 2019, pero el Departamento de Seguridad Nacional (DHS) en abril de este año señaló que antes de que se implementaran los parches, los malos actores podían comprometer las cuentas de Active Directory a través de la falla, por lo que incluso aquellos que lo han parcheado para el error aún podría verse comprometido y son vulnerables a ataques.

Después del acceso inicial, el grupo se dispuso a realizar un reconocimiento en la red. Primero, iniciaron sesión en una cuenta de correo electrónico de O365 de la agencia para ver y descargar archivos adjuntos de correo electrónico de la mesa de ayuda con "Acceso a la intranet" y "Contraseñas de VPN" en las líneas de asunto, y descubrieron la clave de Active Directory y la política de grupo, cambiando una clave de registro para el grupo Política.

“Inmediatamente después, el actor de amenazas usó procesos comunes de línea de comandos de Microsoft Windows (conhost, ipconfig, net, query, netstat, ping y whoami, plink.exe) para enumerar el sistema y la red comprometidos”, según CISA.

El siguiente paso fue conectarse a un servidor privado virtual (VPS) a través de un cliente de Windows Server Message Block (SMB), utilizando una cuenta de identificador de alias seguro que el grupo había creado previamente para iniciar sesión; luego, ejecutaron plink.exe, una utilidad de administración remota.

Después de eso, se conectaron a comando y control (C2) e instalaron un malware personalizado con el nombre de archivo "inetinfo.exe". Los atacantes también establecieron un recurso compartido remoto montado localmente, lo que “permitió al actor moverse libremente durante sus operaciones y dejar menos artefactos para el análisis forense”, señaló CISA.

Los ciberdelincuentes, mientras estaban conectados como administradores, crearon una tarea programada para ejecutar el malware, que resultó ser un cuentagotas para cargas útiles adicionales.

“Inetinfo.exe es un malware único de múltiples etapas que se utiliza para colocar archivos”, explicó CISA. “Eliminó los archivos system.dll y 363691858 y una segunda instancia de inetinfo.exe. El system.dll de la segunda instancia de inetinfo.exe descifró 363691858 como binario de la primera instancia de inetinfo.exe. El binario 363691858 descifrado se inyectó en la segunda instancia de inetinfo.exe para crear y conectarse a un túnel con nombre local. El binario inyectado luego ejecutó el código de shell en la memoria que se conectó a la dirección IP 185.142.236 [.] 198, lo que resultó en la descarga y ejecución de una carga útil ".

Agregó también: "El actor de amenazas cibernéticas pudo superar la protección antimalware de la agencia e inetinfo.exe escapó de la cuarentena".

CISA no especificó cuál era la carga útil secundaria: Threatpost se ha comunicado para obtener información adicional.

Mientras tanto, el grupo de amenazas también estableció una puerta trasera en forma de túnel persistente Secure Socket Shell (SSH) / proxy SOCKS inverso.

"El proxy permitía conexiones entre un servidor remoto controlado por un atacante y uno de los servidores de archivos de la organización víctima", según CISA. "El proxy SOCKS inverso se comunicó a través del puerto 8100. Este puerto normalmente está cerrado, pero el malware del atacante lo abrió".

Luego se creó una cuenta local, que se utilizó para la recopilación y exfiltración de datos. Desde la cuenta, los ciberdelincuentes buscaron directorios en los servidores de archivos de las víctimas; archivos copiados de los directorios de inicio de los usuarios; conectó un VPS controlado por un atacante con el servidor de archivos de la agencia (a través de un proxy SMB SOCKS inverso); y exfiltró todos los datos utilizando el cliente Microsoft Windows Terminal Services.

El ataque ha sido reparado y no está claro cuándo tuvo lugar. Sin embargo, CISA dijo que, afortunadamente, su sistema de detección de intrusiones pudo finalmente marcar la actividad.

"CISA se dio cuenta, a través de EINSTEIN, el sistema de detección de intrusos de CISA que monitorea las redes civiles federales, de un posible compromiso de la red de una agencia federal", según la alerta. "En coordinación con la agencia afectada, CISA llevó a cabo un compromiso de respuesta a incidentes, confirmando la actividad maliciosa".

¡NEVEROFF TECHNOLOGY LO MANTENDRÁ INFORMADO!

No Comments

Post A Comment

× Contáctanos