Categoria: Inteligência do adversárioTipo de ameaça: Último ataqueMotivação: HacktivistaRegião: ÍndiaFonte*: D4

Sumário executivo

AMEAÇAIMPACTOMITIGAÇÃO

• O DragonForce Malaysia, o grupo hacktivista ativamente envolvido no ataque a entidades indianas, anunciou e compartilhou a exploração das vulnerabilidades críticas de Escalação de Privilégios Locais (LPE) e Roteador de Distribuição Local (LDR) de servidores Windows.
• O grupo também anunciou seus planos de se converter em um grupo de ransomware.

• Os atores podem escanear a Internet em busca de instâncias vulneráveis do Windows LPE e aproveitar essa vulnerabilidade para lançar ataques contra importantes entidades indianas pertencentes ao governo e ao setor privado.
• Além disso, eles podem planejar aproveitar esse problema para executar ataques sofisticados de ransomware.

• Procure patches e soluções alternativas para as vulnerabilidades direcionadas ao Windows.
• Audite e monitore anomalias em redes que possam ser indicadores de possível comprometimento.

CloudSEKda plataforma contextual de monitoramento de risco digital de IA XV Vigília identificou uma postagem em um canal do Telegram em que o grupo hacktivista DragonForce Malaysia compartilhou uma exploração para contornar o LDR do Windows Server LPE para atacar e explorar servidores indianos. O grupo também compartilhou um vídeo PoC (Proof of Concept) em funcionamento para fundamentar suas afirmações. [caption id="attachment_19823" align="aligncenter” width="431"] DragonForce postando atualizações em seu canal no Telegram [/caption]

Análise e atribuição

Informações de fóruns de crimes cibernéticos

• Em 23 de junho de 2022, a DragonForce Malaysia publicou uma postagem em seu canal Telegram, compartilhando um PoC para a exploração das vulnerabilidades LPE e LDR do Windows Server. O grupo atribuiu um ator de ameaça chamado “impossível 1337” para o mesmo.
• O grupo também mencionou seus planos de se converter em um grupo de ransomware e compartilhou um exemplo de nota de resgate como prova.

[caption id="attachment_19824" align="aligncenter” width="799"] Exemplo de nota de resgate compartilhada pela DragonForce para comprovar seus planos de conversão para um grupo de ransomware [/caption]

• No mesmo dia, o grupo publicou um blog em seu site oficial, anunciando seus planos de realizar ataques de ransomware e disseminação em massa. Após a postagem no blog, uma quantidade significativa de conversas foi observada no Twitter, que recebeu muitas críticas.
• Anteriormente, a DragonForce foi vista discutindo uma exploração de uma vulnerabilidade crítica de execução remota não autenticada de código presente no Confluence Server and Data Center, CVE-2022-26134, a fim de atacar e explorar ativamente entidades indianas. (Para obter mais informações, consulte a seção Apêndice)

Sobre DragonForce

• Em 10 de junho de 2022, a plataforma de risco digital contextual de IA da CloudSEK, xVigil, descobriu um Tweet postado por um grupo hacktivista da Malásia chamado DragonForce, pedindo ataques a sites do governo indiano por hackers muçulmanos em todo o mundo.
• O objetivo principal do grupo no ataque, conforme alegado por eles, era se vingar do governo indiano por comentários polêmicos sobre o profeta Maomé feitos por alguns políticos indianos.
• O grupo por trás desse chamado cibernético às armas, DragonForce Malaysia, é um grupo hacktivista pró-palestino com sede na Malásia.
• Este grupo possui e opera um fórum onde eles publicam anúncios e discutem suas atividades mais recentes.
• O grupo também tem páginas no Instagram e no Facebook, além de vários canais do Telegram. No entanto, a maior parte do conteúdo é replicada em seus sites e redes sociais.
• O grupo tem conduzido campanhas regulares de recrutamento e promoção usando os rolos do Tiktok e do Instagram.

Canais oficiais de comunicação da DragonForce

Fórum: https [:] //dragonforce [.] ioRadio: https [:] //radio [.] dragonforce [.] ioFacebook: https [:] //fb [.] me/dragonforcedotiotelegram: https [:] //t [.] me/dragonforce iotwitter: https [:] //twitter [.] com/dragonforce ioinstagram: https [:] //instagram [.] com/DragonForceIOYouTube: https [:] //www.youtube [.] com/channel/UC9GYCRXUY7-WMULPBKBP4BW

Impacto e mitigação

ImpactoMitigação

• A DragonForce está associada a vários grupos hacktivistas em sua campanha contra entidades indianas. Essa exploração oferece a eles mais oportunidades de desfigurar e descartar o banco de dados de entidades indianas.
• Os invasores podem usar essa vulnerabilidade para executar comandos remotamente.
• Os agentes de ameaças podem aproveitar essa oportunidade para atacar as vítimas e implantar ransomware.
• Perda potencial de receita, reputação e propriedade intelectual.

• Corrija os servidores Windows mitigando as vulnerabilidades encontradas atualmente ou recorra às soluções alternativas mais recentes fornecidas pelo fornecedor.
• Audite e monitore anomalias em redes que possam ser indicadores de possível comprometimento.

Referências

• *Fonte de inteligência e confiabilidade da informação - Wikipedia
• ^#Protocolo de semáforo - Wikipedia
• Tweet de DragonForce
• Relatório da CloudSEK sobre CVE-2022-26134

Apêndice

[caption id="attachment_19825" align="aligncenter” width="998"] Prova de conceito compartilhada para a exploração da vulnerabilidade LDR do Windows LPE [/caption] [caption id="attachment_19826" align="aligncenter” width="585"] Críticas recebidas pela DragonForce em seu anúncio no Twitter [/caption] [caption id="attachment_19827" align="aligncenter” width="565"] Postagem no fórum sobre crimes cibernéticos discutindo CVE-2022-26134 [/caption]