Categoria: Inteligência do adversárioIndústria: Serviços EmpresariaisRegião: GlobalFonte*: C2

Sumário executivo

AMEAÇAIMPACTO

• Amazon Web Service, Duo, GSuite e outras plataformas da Uber foram comprometidas.
• O acesso vazou para a rede interna (Intranet) *.uberinternal.
• Engenharia social empregada como vetor de ataque inicial.

• Ofuscação do código do aplicativo.
• Vazamento de informações confidenciais e críticas.
• Aquisições de várias contas.
• Equipe agentes mal-intencionados com detalhes para lançar ataques sofisticados de ransomware, extrair dados e manter a persistência.

Análise e atribuição

Informações de código aberto

• Em 16 de setembro de 2022, CloudSEKda plataforma contextual de risco digital de IA XV Vigília descobriu um agente de ameaças alegando ter comprometido a Uber, a provedora americana de serviços de mobilidade.
• A Uber confirmou as alegações acima e respondeu ao incidente declarando que está em contato com as agências policiais.
• O agente da ameaça conseguiu comprometer a conta HackerOne de um funcionário para acessar relatórios de vulnerabilidade associados à Uber.
• Para demonstrar a legitimidade das reivindicações, o ator publicou mensagens não autorizadas na página do HackerOne da empresa.
• Além disso, o atacante também compartilhou várias capturas de tela do ambiente interno da Uber, incluindo o GDrive, o vCenter, as métricas de vendas, o Slack e o portal EDR.

[caption id="attachment_20615" align="alignnone” width="828"] Tweet oficial da Comunicação da Uber [/caption]

Informações das amostras

A equipe de pesquisa da CloudSEK analisou os exemplos de instantâneos compartilhados pelo agente da ameaça, o que implicava acesso aos seguintes ativos:

• Administrador de domínio
• Rede de intranet
• Console do Amazon Web Service
• Console do Google Cloud Platform
• Administrador do VMware vSphere
• Painel de administração de e-mail do GSuite (Workspace)
• Relatórios do HackerOne e outros detalhes
• Páginas do Confluence
• Dados financeiros
• Vários repositórios de código

(Para obter mais informações, consulte o Apêndice)

Técnicas, táticas e procedimentos (TTPs)

• O ator empregado engenharia social técnicas como vetor inicial de ataque para comprometer a infraestrutura da Uber.
• Depois de obter acesso a várias credenciais, o ator explorou o acesso VPN da vítima comprometida para:
  • Dinamize e aumente os privilégios dentro da rede interna
  • Escaneie a rede interna (Intranet) para acesso
• Posteriormente, o ator obteve acesso a uma rede interna (Intranet) *.corp.uber.com onde o ator teve acesso a um diretório, plausivelmente com um nome ”compartilhar”, que fornecia ao ator vários scripts do PowerShell que continham credenciais de administrador para o sistema de gerenciamento de acesso privilegiado (Thycotic).
• Isso permitiu ao ator acesso completo a vários serviços da entidade, como Uber's Duo, OneLogin, AWS, Gsuite Workspace, etc.

[caption id="attachment_20616" align="alignnone” width="789"] Representação pictórica dos TTPs do ator de ameaças para comprometer a Uber [/caption]

Impacto e mitigação

ImpactoMitigação

• Ofuscação do código do aplicativo, dificultando a usabilidade do aplicativo.
• Credenciais e acesso vazados podem facilitar a aquisição de várias contas.
• Vazamento de informações sigilosas e críticas da entidade.
• Isso forneceria aos agentes mal-intencionados os detalhes necessários para lançar ataques sofisticados de ransomware, extrair dados e manter a persistência.
• Danos à reputação da Uber.

• Treinamento de funcionários contra ataques e técnicas de engenharia social.
• Implemente uma política de senha forte e habilite a MFA em todos os logins.
• Crie usuários e grupos especializados com privilégios mínimos.
• Feche as portas não utilizadas e limite o acesso aos arquivos.
• Corrija endpoints vulneráveis e exploráveis.
• Não compartilhe seus segredos sem criptografia em sistemas de mensagens como o Slack ou o WhatsApp.
• Monitore anomalias nas contas dos usuários, o que pode indicar possíveis aquisições de contas.
• Escaneie repositórios para identificar credenciais e segredos expostos.

Referências

• *Fonte de inteligência e confiabilidade da informação - Wikipedia
• ^#Protocolo de semáforo - Wikipedia
• Fonte do ataque — Tweet divulgando o ataque à Uber

Apêndice

[caption id="attachment_20617" align="alignnone” width="1280"] Exemplo de captura de tela compartilhada pelo ator mostrando a estação de trabalho vSphere VM com acesso ao *corp.uber.com [/caption] [caption id="attachment_20618" align="alignnone” width="1294"] Mensagem do ator de ameaças no canal Slack da empresa com a hashtag “uberunderpaisdrives” [/caption] [caption id="attachment_20619" align="alignnone” width="1383"] Comentário do ator da ameaça usando a conta do HackerOne. [/legenda] [caption id="attachment_20620" align="alignnone” width="739"] O suposto ator revelando o TTP do ataque [/caption]