Forefront Informações: Violações por parte de Estados-nação e vectores de ataque emergentes

Escrito por
Ilyas Esmail
22 de abril de 2024
-
10
minutos
Partilhar esta publicação
Imagem de publicação no blogue

Bem-vindo a mais uma edição de Forefront Insights. Após o feedback dos nossos leitores, decidimos começar a publicar estes artigos todas as segundas-feiras, em vez de sextas-feiras, uma vez que é frequente haver desenvolvimentos significativos nos eventos durante o fim de semana! Hoje é dia 22 de abril e estas são algumas das últimas novidades no mundo da cibersegurança!

Violação da MITRE Corporation por parte de um Estado-nação

Esta semana, a comunidade de cibersegurança foi alertada para uma sofisticada violação na MITRE Corporation, levada a cabo por um ator de um Estado-nação. A MITRE é parte integrante da segurança nacional dos EUA, gerindo vários centros de investigação e desenvolvimento financiados pelo governo federal. A violação envolveu a exploração de duas vulnerabilidades críticas: CVE-2023-46805, com uma pontuação CVSS de 8,2, e CVE-2024-21887, com uma pontuação CVSS de 9,1. Estas vulnerabilidades permitiram aos atacantes contornar os mecanismos de autenticação e executar comandos arbitrários em sistemas comprometidos.

Os atacantes iniciaram a sua campanha com e-mails de spear-phishing, o que levou à instalação de payloads backdoor para acesso inicial. Posteriormente, exploraram os CVE acima mencionados para obter um acesso mais profundo e controlo sobre os sistemas da MITRE. Após o comprometimento inicial, os atacantes moveram-se lateralmente dentro da rede, visando e violando a sua infraestrutura VMware utilizando uma conta de administrador comprometida. Este movimento lateral permitiu a implementação de backdoors e web shells adicionais, o que facilitou a persistência dentro da rede e a recolha de credenciais.

É importante notar, no entanto, que o MITRE indicou que a sua rede empresarial principal, conhecida como NERVE - uma rede colaborativa não classificada que fornece recursos de armazenamento, computação e rede - não foi afetada por esta violação. Isto sugere que, embora os atacantes tenham conseguido infiltrar-se em certos aspectos dos sistemas do MITRE, a infraestrutura operacional central permanece segura e não há provas de que os sistemas dos parceiros tenham sido afectados.

Para os nossos clientes, este facto sublinha a importância de proteger os perímetros organizacionais contra ameaças sofisticadas semelhantes. O reforço da segurança dos terminais, a melhoria dos processos de autenticação dos utilizadores e o aumento da monitorização da rede são passos essenciais para proteger os dados sensíveis contra estas intrusões de alto nível.

Leia mais sobre este incidente: MITRE Corporation foi violada por hackers de estados-nação que exploraram falhas do Ivanti (thehackernews.com)

Ataques à identidade sem rede

Com a escalada dos ataques baseados na identidade, estamos a assistir a uma mudança significativa no panorama da cibersegurança. O último relatório de ameaças globais da CrowdStrike indica que 75% dos ataques relacionados com o acesso não continham malware, baseando-se antes em técnicas mais discretas, como o roubo de credenciais e a manipulação de processos de autenticação padrão. Isto reflecte uma tendência crescente para ataques "conscientes da nuvem", que registaram um aumento dramático de 110%. Estes ataques são tentativas deliberadas de visar os serviços em nuvem, com o objetivo de comprometer funcionalidades específicas em vez de explorar vulnerabilidades de forma oportunista.

Além disso, a Microsoft relata aproximadamente 4.000 ataques de senha por segundo visando identidades na nuvem. A Google também indicou que os ataques concebidos para roubar cookies de sessão - para contornar a autenticação multi-fator (MFA) - estão a ocorrer com uma frequência alarmante, quase ao mesmo nível dos ataques baseados em palavras-passe.

Os ataques de alto nível de grupos como o APT29 (também conhecido como Cozy Bear ou The Dukes) e o Scattered Spider (também conhecido como 0ktapus), que visam serviços de fornecedores de identidade (IdP), aplicações de software como serviço (SaaS) e mecanismos de início de sessão único/OAuth, demonstram o foco estratégico dos actores de ameaças modernos. Estas violações contra plataformas importantes como a Microsoft e a Okta realçam a necessidade crítica de estratégias robustas de proteção da identidade.

Em resposta a estes desenvolvimentos, é essencial que as organizações melhorem as suas medidas de proteção da identidade. Isto pode incluir o reforço dos processos de autenticação de utilizadores, a implementação de estruturas de confiança zero e o aumento da sensibilização e formação dos funcionários para reconhecerem e mitigarem os riscos associados a ataques baseados na identidade. Trabalhamos em estreita colaboração com os nossos parceiros para proteger as suas aplicações SaaS e infra-estruturas mais amplas utilizando soluções Zero Trust avançadas da Cloudflare e da Duo.

Leia mais sobre este vetor de ataque: Como os atacantes podem ser donos de uma empresa sem tocar no Endpoint (thehackernews.com)

Comentários do GitHub usados para espalhar malware

Foi comunicado um novo método de distribuição de malware que envolve o abuso de comentários no GitHub. Os atacantes estão a incorporar URLs maliciosos nos comentários de repositórios populares, que depois redireccionam para sites carregados de malware quando clicados por utilizadores desprevenidos. Esta técnica destaca um novo vetor de ataque - abusar da confiança e utilidade de plataformas como o GitHub para espalhar software nocivo.

As organizações devem informar os seus programadores sobre os riscos de interagir com ligações desconhecidas e garantir a aplicação de medidas de segurança adequadas, incluindo a utilização de soluções de filtragem da Web e anti-malware para evitar que essas ameaças comprometam os sistemas.

Leia mais sobre esta vulnerabilidade: Comentários do GitHub abusados para enviar malware através de URLs de repositórios da Microsoft (bleepingcomputer.com)

Em conclusão

À medida que o panorama das ameaças digitais continua a evoluir, é fundamental mantermo-nos informados sobre as mais recentes metodologias de ataque e melhorar as nossas estratégias defensivas. Em Forefront, continuamos empenhados em fornecer-lhe os conhecimentos e as ferramentas necessárias para proteger a sua infraestrutura e os seus dados sensíveis contra ameaças cibernéticas cada vez mais sofisticadas.

Até à próxima semana,

Ilyas Esmail
Diretor Executivo, Forefront

Partilhar esta publicação
Imagem do escritor
Ilyas Esmail

Artigos semelhantes

Junte-se a mais de 2.000 subscritores

Inscreva-se para receber actualizações em Forefront e as últimas notícias sobre cibersegurança.
Na nossa política de privacidade, preocupamo-nos com os seus dados.
Obrigado! A sua candidatura foi recebida!
Ops! Algo correu mal ao submeter o formulário.