Atores patrocinados por estados nacionais estão supostamente lançando ofensivas cibernéticas contra instalações de pesquisa de vacinas contra a COVID-19 em todo o mundo, que atualmente estão em vários estágios de desenvolvimento de vacinas. Relata-se que os agentes da ameaça tiveram algum sucesso em estabelecer uma posição inicial ou até mesmo em extrair pesquisas/outros dados.[/vc_wp_text] [vc_column_text]

Objetivos do agente de ameaças

O envolvimento dos estados-nação nas ofensivas cibernéticas em andamento pode ser atribuído ao estado da economia mundial após a COVID-19. Isso levou os estados-nação a comprometer ou adquirir dados de pesquisa de entidades de pesquisa estrangeiras, em uma tentativa de vencer a “corrida das vacinas”, que permitirá o rápido ressurgimento de suas respectivas economias.

Descrição da ameaça

Os agentes de ameaças estão atacando indivíduos e organizações por meio de métodos diretos, como pulverização de senhas, e empregando métodos de engenharia social, como se passando por funcionários da OMS e recrutadores de empregos, para fazer com que as vítimas abram anexos de e-mail maliciosos. Eles também estão lançando ataques a ativos voltados para a Internet, abusando de credenciais fracas de RDP, para obter uma posição inicial na rede alvo para promover o ataque e comprometer a infraestrutura alvo.

 

Principais atores da ameaça

Threat Actor *APT28 - RússiaLazarus - Coreia do NorteCerium - Coreia do NortePaís de origemRússiaCoréia do NorteCoréia do NorteID APTOAPTO 28APTO 38/37Ainda não designadoApelido/Grupo

Fancy Bear, Cozy Bear,

Estrôncio, Sofia

Grupo Lazarus, Zinco, HiddenCobraCérioVetor de ataque

• Entrada inicial por meio de pulverização de senhas e ataques de força bruta para comprometer contas de usuário válidas
• Comprometimento de credenciais RDP

• Spear-phishing com anexos maliciosos
• Campanhas de phishing disfarçadas de ofertas de emprego

• Ataques temáticos da COVID-19
• Spear phishing se passando por funcionários da OMS
• E-mails repletos de anexos maliciosos

CategoriaAmeaça persistente avançada (APT)Setores-alvoFarmacêutico (P&D de vacinas)Regiões-alvoCanadá, França, Índia, Coréia do Sul, Estados Unidos

[/vc_column_text] [vc_column_text]

MAPA TÉRMICO DE MITRE ATT&CK

• Grupo russo
• Grupos da Coreia do Norte
• TTPs comuns

[/vc_column_text] [vc_single_image image="8660" img_size="large” onclick="custom_link” img_link_target="_blank” link=” https://cdn.cloudsek.com/wp-content/uploads/2020/11/image1.png"][vc_column_text]

Medidas de mitigação

As mitigações precisam ser abordadas não apenas por meios técnicos, mas também pela aplicação de políticas de segurança que implementem soluções técnicas.

 

Mitigações para compensar os riscos associados aos estágios cruciais da cadeia de mortes cibernéticas:

Tipo de mitigação de faseFase de acesso inicialAdministrativo (Política)Estágio/execução-instalação de cargaTécnicoMovimento lateralTécnicoExfiltração/ObjetivoAdministrativo (político/técnico)

 

Mitigação da fase de acesso inicial

• Política administrativa para aplicar senhas fortes: as senhas devem conter caracteres alfanuméricos, caracteres especiais e não devem conter palavras do dicionário.
• Política de bloqueio: para evitar o uso de força bruta e a pulverização de senhas.

Estágio de carga útil/mitigação de execução-instalação

• Os administradores de segurança devem estar cientes do”Vivendo fora da terra” abordagem dos adversários, que nada mais é do que usar aplicativos confiáveis no host da vítima para cumprir as ordens do atacante.
• Monitoramento efetivo de registros de atividades suspeitas, por exemplo: caso de uso anormal de “mshta” e “regsvr32”.
• Soluções IDR/XDR eficazes para monitorar as atividades do host.
• Monitoramento do fluxo de tráfego de entrada/saída.
• A maioria das medidas descritas pode ser implementada com um SIEM.
• Auditoria de configuração do sistema.

Mitigação do movimento lateral

• Auditoria adequada de privilégios de usuário, use somente contas de usuário padrão
• Aplicação do “Princípio do Menor Privilégio”.
• Implementação da Lista de Permissões de Aplicativos.
• Autenticação multifatorial.
• Controles de acesso adaptáveis e baseados em contexto.
• Política de senha forte.
• Segmentação de rede e lacunas.
• Implemente soluções de detecção de modelos de comportamento de ameaças, como sistemas IDR/XDR modernos.
• Consciência das ferramentas comumente usadas pelos atores para executar movimentos laterais.

 

Exfiltração/Mitigação Objetiva

• Soluções DLP eficazes para monitorar o tráfego de saída do roteador de fronteira.
• Conhecimento das técnicas de exfiltração usadas pelos atores, por exemplo: DNS/HTTPS
• Os invasores podem usar até mesmo aplicativos confiáveis no ambiente da vítima para extrair dados da rede de destino (Living off The Land).

 

Diretrizes básicas de resposta a incidentes

Corpo guia

ISO/IEC 27035

ISO/IEC 27035-1

ISOSP 800-61NIST (NÓS)

 

Apêndice

APT28

Táticas, técnicas e procedimentos do APT28:

Descrição do Mitre-ID Descrição do Mitre-IDT1134,001Manipulação de token de acesso: Falsificação de personificação/roubo de tokensT1059,003Intérprete de comandos e scripts: Shell de comando do WindowsT1583,001Adquira infraestrutura: DomíniosT1092Comunicação por meio de mídia removívelT1071,003Protocolo de camada de aplicação: Protocolos de e-mailT1213.002Dados de repositórios de informações: SharepointT1071,001Protocolo de camada de aplicação: Protocolos da WebT1005Dados do sistema localT1560Arquivar dados coletadosT1025Dados de mídia removívelT1119Coleção automatizadaT1001Ofuscação de dados: Dados inúteisT1037,001Scripts de inicialização ou logon: Script de login (Windows)T1074,001Dados em etapas: Preparação local de dadosT1110.003Força bruta: Pulverização de senhasT1140Desofuscar/decodificar arquivos ou informaçõesT1110.001Força bruta: Adivinhação de senhasT1114.002Coleta de e-mails: Coleta remota de e-mailsT1059,001Intérprete de comandos e scripts: PowerShellT1573,001Canal criptografado: criptografia simétricaT1546,015Execução acionada por evento: sequestro de modelo de objeto de componenteT1068Exploração para escalonamento de privilégiosT1190Explore o aplicativo voltado para o públicoT1210A exploração de serviços remotosT1203Exploração para execução de clientesT1083Descoberta de arquivos e diretóriosT1211Exploração para evasão de defesaT1564,001Ocultar artefatos: arquivos e diretórios ocultosT1564,003Ocultar artefatos: janela ocultaT1003Despejo de credenciais do sistema operacionalT1070.006Remoção do indicador no host: TimestampT10030,001Memória LSASST1070,001Remoção de indicadores no host: limpe os registros de eventos do WindowsT1120Descoberta de dispositivos periféricosT1070,004Remoção do indicador no host: exclusão de arquivoT1566Phishing: link de spear phishingT1105Transferência de ferramentas de entradaT1566Phishing: anexo de spear phishingT1056,001Captura de entrada: Registro de chavesT15420,003Inicialização pré-sistema operacional: Kit de inicializaçãoT15590,002Comunicação entre processos: troca dinâmica de dadosT1057Descoberta de processosT1498Negação de serviço de redeT10900,002Proxy: Proxy externoT1040Detecção de redeT1091Replicação por meio de mídia removívelT1027Arquivos ou informações ofuscadosT1014RootkitT1137,002Inicialização do aplicativo Office: Teste de escritórioT1113Captura de telaT1091Replicação por meio de mídia removívelT12180,011Execução de proxy binário assinado: Rundll32T1014RootkitT1528Roubar token de acesso ao aplicativoT1113Captura de telaT1221Injeção de modeloT12180,011Execução de proxy binário assinado: Rundll32T1199Relacionamento confiávelT1528Roubar token de acesso ao aplicativoT1550Material de autenticação: passe o hashT1221Injeção de modeloT1550Use material de autenticação alternativo: Token de acesso ao aplicativoT1199Relacionamento confiávelT1204,002Execução do usuário: Arquivo maliciosoT1550Material de autenticação: passe o hashT1078Contas válidasT1550Use material de autenticação alternativo: Token de acesso ao aplicativoT1204,002Execução do usuário: Arquivo maliciosoT1078Contas válidas

Software usado pelo APT28:

Software Mitre-IDSoftware Mitre-IDS0045ADV STORESHELLS0251ZebrocyS0351CanhãoS0250KoádicoS0160certutilS0162KomplexS0023PAUZINHOS0397O JaxS0137CONCHA DO NÚCLEOS0002MimikatzS0243Escolha de revendedoresS0138ISCA VELHAS0134DowndelphS0174RespondenteS0502DrovorubS0136Ladrão USBS0193Para arquivosS0191WinexeS0410FísbisS0314X-Agent para AndroidS0135ESCONDIDOS0161Agente X para OSXS0044JHUHUGITS0117Túnel X

 

Grupo Lazarus

Táticas, técnicas e procedimentos de Lázaro:

Descrição do Mitre-ID Descrição do Mitre-IDT11340,002Manipulação do token de acesso: Criar processo com tokenT10590,005Intérprete de comandos e scripts: Visual BasicT1098Manipulação de contasT10590,001Intérprete de comandos e scripts: PowerShellT10710,001Protocolo da camada de aplicação: Protocolos da WebT15430,003Criar ou modificar o processo do sistema: Serviço do WindowsT1010Descoberta de janelas de aplicativosT1485Destruição de dadosT1560Arquivar dados coletadosT11320,001Codificação de dados: codificação padrãoT1560Arquivo via BibliotecaT1005Dados do sistema localT1560Arquivamento via método personalizadoT10010,003Ofuscação de dados: personificação de protocoloT1547,001Execução de inicialização automática de inicialização ou login: chaves de execução do registro/pasta de inicializaçãoT10740,001Dados Encenado: Preparação local de dadosT1547,009Execução de inicialização automática de inicialização ou login: modificação de atalhoT14910,001Desfiguração: Desfiguração internaT1547,005Execução de inicialização automática de inicialização ou login: provedor de suporte de segurançaT15610,002Limpeza de disco: Limpeza da estrutura do discoT1110.003Força bruta: pulverização de senhasT1561,001Limpeza de disco: Limpeza do conteúdo do discoT1059,003Intérprete de comandos e scripts: Windows Command ShellT1189Compromisso diretoT1203Exploração para execução de clientesT1573,001Canal criptografado: criptografia simétricaT1008Canais alternativosT10480,003Exfiltração por protocolo alternativo: Exfiltração por protocolo não C2 não criptografado/ofuscadoT1083Descoberta de arquivos e diretóriosT1041Exfiltração pelo canal C2T1564,001Ocultar artefatos: Arquivos e diretórios ocultosT15620,004Prejudique as defesas: desative ou modifique o firewall do sistemaT1562,001Prejudicar as defesas: desativar ou modificar ferramentasT1070,004Remoção do indicador no host: exclusão de arquivoT1105Transferência de ferramentas de entradaT1070,006Remoção do indicador no host: TimestampT10560,001Captura de entrada: registro de teclasT1112Modificar registroT1036,004Mascarando: tarefa ou serviço mascaradoT1571Porta não padrãoT1027Arquivos ou informações ofuscadosT10030,001Dumping de credenciais do sistema operacional: memória LSASST10270,002Embalagem de softwareT1566,001Phishing: anexo de spearphishingT1566,003Phishing: Spearphishing via serviçoT1057Descoberta de processosT1542,003Inicialização pré-sistema operacional: BootkitT1055,001Injeção de processo: injeção de biblioteca de links dinâmicosT1090,002Proxy: Proxy externoT1021.002Serviços remotos: compartilhamentos de administradores SMB/WindowsT1012Registro de consultasT1496Sequestro de recursosT1021,001Serviços remotos: Remote Desktop ProtocolT1489Interrupção do serviçoT1218.001Execução de proxy binário assinado: arquivo HTML compiladoT1016Descoberta da configuração de rede do sistemaT1218.005Execução de proxy binário assinado: MshtaT1033Descoberta do proprietário/usuário do sistemaT1082Informações do sistema DescobertaT1529Desligamento/reinicialização do sistemaT1124Descoberta da hora do sistemaT1047Instrumentação de gerenciamento do WindowsT12040,002Execução do usuário: Arquivo malicioso

 

Software usado pelo Lazarus:

Software Mitre-IDSoftware Mitre-IDS0347Auditoria CredS0108netshS0245CHAMADA RUIMS0238ProxysvcS0239Foto bancáriaS0241RATANKBAS0498CriptográficoS0364Disco brutoS0497DaclsS0263TIPOGRAFIAS0181FRIO NO OUTONOS0180VolgmerS0246CHUVA DURAS0366WannaCryS0376HOLOFOTES0271MÁRMORE CHAVES0431Croissant quenteS0002Mimikatz