Categoria: Inteligência do adversárioTipo de ameaça: HacktivismoIndústria: Governo e setor privadoRegião: ÍndiaAtualização 2:13 de junho de 2022, 18:30 ISTOs pesquisadores da CloudSEK capturaram um membro do fórum DragonForce executando o suposto ataque DDOS no site oficial do BJP. O endereço IP na imagem corresponde ao endereço IP do servidor do BJP (ou seja, 104 [.] 18 [.] 130 [.] 37). [caption id="attachment_19542" align="aligncenter” width="323"] Imagem mostrando atacantes implementando ataques de DDOS no site do BJP [/caption] Além disso, os pesquisadores da CloudSek identificaram um grupo de agentes de ameaças, circulando números de contato de policiais indianos com links de bate-papo do WhatsApp, na seção de comentários do DragonForce no Instagram. Conteúdo idêntico também foi descoberto no fórum do grupo hacktivista. [caption id="attachment_19543" align="aligncenter” width="828"] Números de telefone de policiais foram expostos na seção de comentários do Instagram [/caption]

DragonForce HTTPS

Uma análise abrangente da ameaça revelou possíveis TTPs do grupo:

• Conforme mencionado anteriormente, o grupo utiliza o Google Dorks para identificar alvos. Isso permite que eles busquem alvos de sua própria escolha, com base na vulnerabilidade que desejam atingir.
• Por exemplo, o grupo de atores teve como alvo o site de compartilhamento de conhecimento e recursos do Governo da Índia (https [:] //krcnet [.] moes [.] gov [.] in/user/register). Um link exato foi compartilhado no fórum do grupo para que os indivíduos o segmentassem. Este site permite que tipos de arquivos como png, gif, jpg etc. sejam carregados. Ele permite o upload de imagens de até 250 MB, que poderiam ter sido manipuladas pelo grupo, para desfigurar o site.
• Este site poderia ter sido descoberto pelos atores por meio do Google Dorks, como:
  • “tipos de arquivos permitidos: png gif jpg txt site: gov.in”
  • “tipos de arquivos permitidos: png gif jpg txt site:com”
  • “tipos de arquivos permitidos: png gif jpg txt site: net.in”
  • “tipos de arquivos permitidos: png gif jpg txt site:in”
  • “tipos de arquivos permitidos: png gif jpg txt site: ac.in”
  • “tipos de arquivos permitidos: png gif jpg txt site:com”
  • “tipos de arquivo permitidos: png gif jpg txt”
• Os domínios com .gov.in, .com, .net.in, .in e .ac.in são os principais alvos dos atacantes.
• O grupo de agentes de ameaças está utilizando uma ferramenta chamada SC deface (ou Script Deface) para desfigurar os sites de destino. Essa ferramenta possui códigos de desfiguração pré-construídos que podem ser inseridos nos sites de destino, com designs para o usuário baixar. Um usuário pode modificar o código HTML e o design de acordo com sua intenção.

[caption id="attachment_19544" align="aligncenter” width="1211"] Captura de tela do fórum do grupo de agentes de ameaças mostrando um ator compartilhando conhecimento sobre o abuso do Drupal [/caption] Atualização 1:13 de junho de 2022, 14:30 IST A última postagem do grupo em seu site menciona que eles conduzirão um ataque DDOS em grande escala às 22h30, horário da Malásia (20h30 IST), em dois sites indianos:

• Site de veteranos do exército indiano, permitindo acesso IP direto a todos: https [:] //www [.] Indianarmyveteran [.] gov [.] in/, com endereço IP 164 [.] 100 [.] 228 [.] 84
• Site do BJP: https [:] //www [.] bjp [.] org/home com endereço IP 104 [.] 18 [.] 130 [.] 37

O grupo de atores mencionou especificamente a porta 443 para o ataque. O site do BJP tem a tecnologia Cloudflare implantada, enquanto o site Indian Army Veteran não tem nenhuma dessas medidas em vigor. Última atualização no site DragonForceUm possível TTP para o ataque da Host Net pode ser:

• O invasor explorou e ignorou o Admin SQL e carregou um shell reverso no sistema.
  • O ator abusou do Google Dork e usou. /login com o parâmetro do site como “:in” para a Índia.
  • O ator contornou o Admin SQL usando um exploit escrito na linguagem PHP e fez o upload de três arquivos para acesso reverso ao shell no sistema. Esses scripts de shell também foram escritos na linguagem PHP.

13 de junho de 2022, 10:30 IST

Sumário executivo

AMEAÇAIMPACTOMITIGAÇÃO

• Os comentários recentes de políticos indianos sobre o profeta levaram o grupo hacktivista DragonForce a lançar a campanha OpsPatuk contra o governo indiano.
• O grupo também solicitou o apoio de “hackers muçulmanos em todo o mundo, organizações de direitos humanos e ativistas”. [sic]

• Campanhas com motivação religiosa e política, como a OpsPatuk, podem levar à violação de alguns sites governamentais confidenciais contendo PII, operações militares e outros segredos governamentais, que, nas mãos erradas, podem permitir ataques direcionados ao país e a seus cidadãos.

• Monitore anomalias em contas de usuários e aplicativos web expostos à Internet.
• Provedores de hospedagem e equipes governamentais de resposta cibernética devem estar em alerta máximo.

Análise e atribuição

Informações das mídias sociais

• Em 10 de junho de 2022, CloudSEKda plataforma contextual de risco digital de IA XV Vigília descobriu um Tweet postado por um grupo hacktivista malaio chamado DragonForce, pedindo ataques a sites do governo indiano por hackers muçulmanos em todo o mundo.
• O objetivo principal do grupo no ataque, conforme alegado por eles, era se vingar do governo indiano por comentários polêmicos sobre o profeta Maomé feitos por alguns políticos indianos.
• para permitir que seus aliados lancem ataques, o grupo compartilhou:
  • Credenciais de mídia social de cidadãos indianos, especialmente acessos ao Facebook
  • Supostos combos de nome de usuário e senha para contas bancárias do SBI

  Credenciais do SBI Bank [caption id="attachment_19508" align="alignnone” width="1165"] Credenciais vazadas para fazer login em contas de mídia social [/caption]

• O grupo chamou essa operação de OpsPatuk, que se traduz em “contra-atacar”. O grupo também compartilhou evidências de que eles invadiram os seguintes sites do governo indiano:
  • indembassyisrael [.] gov [.] em
  • gerenciar [.] gov [.] em
  • extensionmoocs [.] manage [.] gov [.] em
  • cia [.] manage [.] gov [.] em
  • cfa [.] gerenciar [.] gov [.] em

Informações para fóruns clandestinos

Após uma investigação mais aprofundada, o CloudSEK descobriu que vários agentes de ameaças se juntaram a essa operação e invadiram vários sites indianos. Algumas dessas postagens estão listadas abaixo.

• Um hacker do OpsPatuk afirma ter comprometido um dos servidores da Host Net India (216 [.] 48 [.] 179 [.] 60) e compartilhou imagens de amostra para fundamentar as alegações.
• Pesquisas adicionais sugerem que o ataque inicial parece estar em servidores web comprometidos usando explorações de hospedagem compartilhada. Os atacantes também poderiam ter explorado e ignorado o SQL administrativo ou abusado do Google Dork Index para fazer o upload de um shell reverso para o sistema.

[caption id="attachment_19509" align="alignnone” width="960"] Lista de explorações de hospedagem compartilhada, conforme fornecida pelo agente da ameaça [/caption]

• Outro membro da operação OpsPatuk foi encontrado discutindo um possível ataque cibernético no site oficial do BJP, o partido governante indiano.

[caption id="attachment_19510" align="alignnone” width="1999"] Captura de tela da postagem do ator da ameaça no fórum clandestino [/caption]

Sobre DragonForce

• O grupo por trás desse chamado cibernético às armas, DragonForce Malaysia, é um grupo hacktivista pró-palestino com sede na Malásia.
• Este grupo possui e opera um fórum onde eles publicam anúncios e discutem suas atividades mais recentes.
• O grupo também tem páginas no Instagram e no Facebook, além de vários canais do Telegram. No entanto, a maior parte do conteúdo é replicada em seus sites e redes sociais.
• O grupo tem conduzido campanhas regulares de recrutamento e promoção usando os rolos do Tiktok e do Instagram.
• O CloudSek descobriu uma hashtag #opspatuk no TikTok, com postagens pedindo ação contra o governo indiano. Essas postagens têm mais de 2,4 milhões de visualizações no momento da publicação deste relatório.

[caption id="attachment_19511" align="alignnone” width="1764"] Postagens no TikTok pedindo ações contra o governo indiano sob a hashtag #opspatuk [/caption]

Canais oficiais de comunicação da DragonForce

Fórum: https [:] //dragonforce [.] ioRadio: https [:] //radio [.] dragonforce [.] ioFacebook: https [:] //fb [.] me/dragonforcedotiotelegram: https [:] //t [.] me/dragonforce iotwitter: https [:] //twitter [.] com/dragonforce ioinstagram: https [:] //instagram [.] com/DragonForceIOYouTube: https [:] //www.youtube [.] com/channel/UC9GYCRXUY7-WMULPBKBP4BW

Seleção de alvos

O grupo compartilhou uma lista de sites que eles estão incentivando seus apoiadores e aliados a atacarem. Além de vários sites do governo indiano, isso também inclui índios privados:

• Empresas de logística e cadeia de suprimentos
• Instituições educacionais
• Empresas de tecnologia e software
• Provedores de hospedagem na web

[caption id="attachment_19512" align="alignnone” width="1024"] Imagem mostrando uma captura de tela do tweet do chamado do grupo de atores de ameaças Dragon Force para se unir contra a Índia [/caption]

Grupos de ameaças que apoiam a DragonForce Malaysia

O DragonForce já foi associado aos seguintes grupos, a maioria dos quais parece ser da Malásia ou do Paquistão.

• Revolução no Paquistão
• Parafuso Rilek
• Dimensão T3 na Malásia
• Exército Cibernético Muçulmano Unido
• Novato em código
• Tripulações fantasmas
• LocalHost Malásia
• Exército Cibernético Harimau Malaya
• Group Tempur Raky em Malásia

Em resposta ao telefonema da DragonForce, o Team Revolution Pakistan já invadiu o Time8, um canal de notícias digitais baseado em Assam. Durante uma transmissão de notícias ao vivo, a transmissão do canal foi interrompida e substituída pela bandeira do Paquistão e pelo hino de fundo elogiando o Profeta Muhammad (PBUH). [caption id="attachment_19513" align="alignnone” width="819"] Imagem mostrando a transmissão ao vivo hackeada do Time8 Youtube com a bandeira do Paquistão como imagem. [/legenda] É muito provável que tais atividades, realizadas pelos apoiadores do grupo, ganhem força nos próximos dias.

Vetores de ataque inicial

Até agora, a DragonForce e seus apoiadores empregaram principalmente os seguintes ataques do lado do servidor e do lado do cliente para atingir as vítimas: Ataques do lado do servidorAtaques do lado do cliente

• Pulverização de senhas usando contas comprometidas em sites de mídia social.
• Escolha provedores de hospedagem para obter acesso não autorizado a sites hospedados.
• Ataques locais de inclusão de arquivos em aplicativos da web.
• Aproveitando as ferramentas amplamente disponíveis para DDOS.

• Uso de explorações de documentos da Microsoft.
• Malware e ransomware.
• Campanhas de phishing usando mensagens SMS e WhatsApp com arquivos maliciosos.

Mecanismo de persistência

A DragonForce e seus apoiadores têm confiado em web shells para manter sua posição nas redes das organizações-alvo.

Conclusão

O hacktivismo, também conhecido como hativismo, é o uso de técnicas baseadas em computador, como hackear, como uma forma de desobediência civil para promover uma agenda política ou mudança social na Internet. Com a crescente era da digitalização e a mudança de paradigma provocada pela pandemia global, pessoas em todo o mundo começaram a usar essa tática em grande escala. Isso se tornou especialmente prevalente após o recente conflito entre Rússia e Ucrânia, que começou em fevereiro de 2022, que viu o surgimento de vários hacktivistas de ambos os lados. À luz das ações e ameaças contundentes da DragonForce, é importante que as empresas indianas e as entidades governamentais protejam seus sites, ativos e terminais para evitar uma maior escalada de ataques. O CloudSEK continuará investigando esse padrão de ataques em desenvolvimento e fornecerá atualizações oportunas para reforçar a segurança do governo indiano e de entidades privadas.

Referências

• ^#Protocolo de semáforo - Wikipedia
• Aviso sobre ameaças de radware - OpsBedil Reloaded 2022 da DragonForce Malaysia