Violação da cadeia de suprimentos do Grupo BORN: análise aprofundada da exploração Jenkins da Intelbroker

Categoria: Inteligência do adversário

Indústria: Múltiplo

Motivação: Financeiro

Região: Global

Fonte*:

B - Normalmente confiável

2 - Possivelmente verdade

‍

Sumário executivo

Este relatório investiga um ataque significativo na cadeia de suprimentos direcionado ao provedor de serviços de TI BORN Group. O agente de ameaças, Intelbroker, explorou o CVE-2024-23897 para violar os sistemas do BORN Group, extraindo dados confidenciais de vários clientes.

Além disso, a Intelbroker afirma ter comprometido o banco de dados do Market como parte desse ataque à cadeia de suprimentos, expondo informações pessoais de aproximadamente 196.000 pessoas.

‍

Vítimas:

Potencial vítima primária: 

Nome da organização: Grupo BORN

Nome de domínio: https://www.borngroup.com/ 

‍

Quem é o Grupo BORN

O BORN Group é uma agência global de marketing digital especializada em soluções de transformação digital e comércio. Fundada em 2011, ela fornece uma variedade de serviços, incluindo design criativo, produção de conteúdo e integração de tecnologia para marcas de vários setores. O BORN Group é conhecido por suas soluções de ponta a ponta que aprimoram as experiências dos clientes e impulsionam o crescimento dos negócios. A empresa opera internacionalmente, com escritórios nas principais cidades do mundo.

‍

Vítimas secundárias: 

1stwave, Banco da Irlanda, BTEC, Celcom, Delta Faucet, Frontier Saw Mills, Gourmet Egypt, Hitachi, Lindt Chocolate, Nestlé, Reebok, TOPCON, Unilever

‍

Ataque sofisticado ao Born Group

1. Acesso inicial: O Threat Actor explora o CVE-2024-23897 em um servidor Jenkins exposto.
2. Exploração da vulnerabilidade LFI: O Threat Actor usa o CVE-2024-23897 (vulnerabilidade LFI) para roubar chaves SSH.
3. Acesso ao GitHub: O Threat Actor usa chaves SSH roubadas para acessar o repositório GitHub de borngroup.com.
4. Despejo de repositório: O Threat Actor despeja todos os repositórios do GitHub do BORN Group.
5. Infiltração de outras vítimas: O Threat Actor explora chaves codificadas e segredos encontrados no código-fonte para se infiltrar em outros sistemas.

‍

‍

Grupo BORN como alvo principal

• Estrutura de pastas compartilhadas: Consistente”nascido“As convenções de nomenclatura de pastas em vários repositórios sugerem um papel centralizado para o BORN Group no ambiente afetado.

• Sobreposição de clientes: A identificação das vítimas do incidente como clientes do Grupo BORN reforça o envolvimento potencial da empresa como alvo principal.

‍

Servidor vulnerável exposto

A descoberta de um servidor exposto do BORN Group executando o software Jenkins vulnerável reforça a hipótese de que a empresa foi alvo direto do ataque.

‍

‍

Perfil do ator ameaçador - Intelbroker

O Intelbroker é um agente altamente ativo de ameaças de crimes eletrônicos que opera desde pelo menos outubro de 2022. Motivada principalmente pelo ganho financeiro, a Intelbroker é especializada em violações de dados, extorsão e opera como corretora de acesso no submundo do cibercrime. O ator frequentemente tem como alvo organizações de alto perfil em vários setores, incluindo governo, telecomunicações, automotivo e tecnologia.

‍

‍

Modus Operandi

A Intelbroker emprega uma abordagem multifacetada para comprometer metas e lucrar com dados roubados:

• Violações de dados: Violar organizações para roubar dados confidenciais, incluindo PII de clientes, registros financeiros e código-fonte proprietário.
• Extorsão: Aproveitando dados roubados para extorquir vítimas por meio de ameaças de divulgação pública ou venda a outros cibercriminosos.
• Corretora de acesso: Vender acesso a redes e sistemas comprometidos, fornecendo a outros agentes de ameaças um ponto de entrada para novos ataques.

‍

Ferramentas e técnicas

• Ransomware de resistência: A Intelbroker afirma ter desenvolvido e operado o ransomware “Endurance”. Esse malware baseado em C#, agindo mais como um limpador, sobrescreve arquivos com dados aleatórios, os renomeia e depois exclui os originais. O código-fonte do Endurance está disponível publicamente em um repositório do GitHub que se acredita pertencer ao ator.
• Explorando servidores Jenkins: O Intelbroker geralmente tem como alvo servidores Jenkins expostos, aproveitando vulnerabilidades para acesso inicial e movimentação lateral nas redes das vítimas.
• Compromisso de terceiros: Em pelo menos um caso envolvendo a T-Mobile (o que a empresa nega), a Intelbroker pode ter comprometido um provedor de serviços terceirizado para obter acesso à rede da organização-alvo.

‍

Reclamações notáveis e atividades anteriores:

• Comerciante automático
• Volvo
• AT&T
• Verizon
• T-Mobile (disputado)

‍

Indicadores de compromisso (IOCs)

URLs

• http [:] //h44jyyfomcbnnw5dha7zgwgkvpzbzbdyx2onu4fxaa5smxrgbjgq7had.onion/
• olx.id7423 [.] ru
• boxberry.id7423 [.] ru
• avito-rent.id7423 [.] ru
• 3inf [.] site

‍

Hashes de arquivo (SHA256)

• 600be5ab7f0513833336bec705ca9bcfd1150a2931e61a4752b8de4c0af7b03a
• 8a3ca9efa2631435016a4f38ff153e52c647146e
• 285e0573ef667c6fb7aeb1608ba1af9e2c86b452
• 26727d5fceef79de2401ca0c9b2974cd99226dcb
• dc7cb3bfdc236c41f1c4bbac911daaa2

‍

Recomendações

• As organizações que usam o Jenkins devem corrigir imediatamente seus sistemas para abordar o CVE-2024-23897.
• As empresas que utilizam os serviços do Born Group devem realizar uma auditoria de segurança completa para identificar possíveis comprometimentos.
• Revise e fortaleça os controles de acesso de todos os repositórios, especialmente aqueles que contêm informações confidenciais.
• Implemente a autenticação multifator (MFA) sempre que possível para reduzir o risco de comprometimento das credenciais.
• Monitore atividades suspeitas relacionadas ao acesso e à exfiltração de dados.

‍

Referências

• *Fonte de inteligência e confiabilidade da informação - Wikipedia
• ^#Protocolo de semáforo - Wikipedia