🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
Home
Threat Intelligence Posts
Threat Actor Group

Ator de ameaças que alega ter comprometido a IBM e a Universidade de Stanford divulga seus TTPs

A XVIigil identificou uma postagem em um fórum de crimes cibernéticos em inglês mencionando Jenkins como um dos TTPs usados por um agente de ameaças. Este módulo tem recursos ocultos de aquisição de desktops para obter cliques em anúncios.
Updated on
April 17, 2026
Published on
June 30, 2022
Read MINUTES
5
Subscribe to the latest industry news, threats and resources.
Categoria: Inteligência adversáriaTipo de ameaça: Serviços para agentes de ameaçasMotivação: FinanceiroRegião: GlobalFonte*: D4

Sumário executivo

AMEAÇAIMPACTOMITIGAÇÃO
  • Um agente de ameaças mencionou como Jenkins ajudou significativamente na aquisição de contas confidenciais de uma organização.
  • O ator tem um histórico de venda de acessos para a IBM e de acessos web shell para diferentes entidades governamentais.
  • Os TTPs (táticas, técnicas e procedimentos) usados pelo agente da ameaça podem ser utilizados por outros atacantes para realizar explorações semelhantes.
  • Módulos como esses podem permitir ataques persistentes e sofisticados de ransomware.
  • Atualize o software para suas versões mais recentes ou implemente-as com uma solução alternativa.
  • Audite e monitore anomalias em redes de dispositivos que são indicadores de possíveis comprometimentos.
CloudSEKda plataforma contextual de risco digital de IA XV Vigília identificou uma postagem em um fórum de crimes cibernéticos de língua inglesa mencionando Jenkins como um dos TTPs usados por um agente de ameaças. Este módulo tem recursos ocultos de aquisição de desktops para obter cliques em anúncios. Com base em discussões clandestinas, os pesquisadores do CloudSEK esperam que essa campanha maliciosa aumente as tentativas de infecção por bots. [caption id="attachment_19845" align="aligncenter” width="1021"]Threat actor’s post on the cybercrime forum Postagem do ator da ameaça no fórum de crimes cibernéticos [/caption]

Análise e atribuição

Informações do Cybercrime Forum

  • Em 07 de maio de 2022, um agente de ameaças publicou uma postagem em um fórum de crimes cibernéticos descrevendo a história de violação de uma grande empresa ao explorar uma vulnerabilidade no painel do Jenkins.
  • É interessante observar que o mesmo agente de ameaças foi visto anteriormente oferecendo acesso à IBM.
  • O ator também provou que uma captura de tela de amostra é uma prova de seu acesso reivindicado a um painel do Jenkins.
[caption id="attachment_19846" align="aligncenter” width="446"]Sample shared by the threat actor while describing his TTP Amostra compartilhada pelo ator da ameaça ao descrever seu TTP [/caption]

TTPs (táticas, técnicas e procedimentos)

  • O agente da ameaça encontrou um desvio do painel Jenkins que continha hosts e scripts internos, além de credenciais e logins do banco de dados.
  • O ator usou mecanismos de busca como o Shodan para atingir o porto 9443 do ativo público da empresa comprometida.
  • Depois de obter os resultados, o ator usou um script privado de fuzzing para fazer com que instâncias vulneráveis explorassem o desvio de configuração incorreta do rproxy.
  • Em suas postagens subsequentes, o ator também mencionou a seguinte história de exploração sobre como obter acesso à Universidade de Stanford:
    • O ator usou o Ferramenta Sudomy para enumerar todos os subdomínios relacionados à Universidade.
    • O ator então usou httpx para fornecer aos domínios um caminho como -path /wp-content/plugins/.
    • Uma exploração vulnerável de dia zero no plug-in acima retorna dados de todos os subdomínios que têm um caminho válido com o dia zero, o que permite que um invasor execute o RCE nele.

O ator da ameaça

  • O ator tem postado ativamente sobre diferentes explorações e acessos no fórum de crimes cibernéticos. Algumas das entidades visadas por eles incluem:
  1. Acesso à rede para Empresa de tecnologia IBM, incluindo scripts de administradores internos e configurações de firewall para rede interna. Ele continha as seguintes informações:
    1. Dados dos usuários do Active Directory
    2. Credenciais de login SMTP
    3. Credenciais de login interno do RDP
    4. Acesso a dois bancos de dados
    5. Banco de dados baseado em AWS RDS
    6. 1 Acesso ao painel Log4j
    7. 1 acesso ao painel RCE
    8. 1 acesso ao painel do WordPress.
  2. Universidade Jozef Safarik, Eslováquia.
  3. Os acessos governamentais aos domínios são de vários países, incluindo:
    1. Ucrânia
    2. Emirados Árabes Unidos
    3. Paquistão
    4. Nepal
    5. Butão
    6. Quênia
    7. Srilanka
    8. Indonésia

Classificação da fonte

  • O ator é bastante ativo no fórum de crimes cibernéticos.
  • As postagens compartilhadas pelo ator podem ser verdadeiras, mas não há provas das façanhas.
Portanto,
  • A confiabilidade do ator pode ser avaliada Geralmente não é confiável (D).
  • A credibilidade do anúncio pode ser avaliada Duvidoso (4).
  • Dando credibilidade geral à fonte de D4.

Impacto e mitigação

ImpactoMitigação
  • Os TTPs usados pelo agente da ameaça podem ser utilizados por outros para realizar explorações semelhantes.
  • Módulos como esses podem permitir ataques persistentes e sofisticados de ransomware.
  • Os agentes de ameaças podem se mover lateralmente, infectando a rede, para manter a persistência e roubar credenciais.
  • Como a reutilização de senhas é uma prática comum, os atores podem aproveitar as credenciais expostas para acessar outras contas do usuário.
  • Atualize o software para suas versões mais recentes ou implemente-as com uma solução alternativa.
  • Audite e monitore anomalias em redes de dispositivos que são indicadores de possíveis comprometimentos.
  • Use MFA (autenticação multifator) em todos os logins.

Referências

Apêndice

[caption id="attachment_19847" align="aligncenter” width="1033"]Another post made by threat actor selling RCE on web server targeting government entities from Ukraine, UAE, Thailand, Pakistan, Indonesia, and others. Outra postagem feita por um agente de ameaças que vende RCE em um servidor web visando entidades governamentais da Ucrânia, Emirados Árabes Unidos, Tailândia, Paquistão, Indonésia e outros. [/legenda]
CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.
Recent Posts

Recent Articles

Anonymous Sudan alega a remoção bem-sucedida do primeiro site e aplicativo do banco de Abu Dhabi por meio de ataques de DDoS
May 29, 2023
Expondo o uso indevido de e-mail da Qwiklabs em fraudes de pagamento sorrateiras envolvendo a configuração de contas comerciais da UPI
January 17, 2024

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.
Agende uma demonstração
Real time Threat Intelligence Data
More information and context about Underground Chatter
On-Demand Research Services
Dashboard mockup
Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.
Trusted by 400+ Top organisations
Get started
Learn more