Forefront Informações: Violações por parte de Estados-nação e vectores de ataque emergentes

Escrito por

Ilyas Esmail

22 de abril de 2024

minutos

Bem-vindo a mais uma edição de Forefront Insights. Após o feedback dos nossos leitores, decidimos começar a publicar estes artigos todas as segundas-feiras, em vez de sextas-feiras, uma vez que é frequente haver desenvolvimentos significativos nos eventos durante o fim de semana! Hoje é dia 22 de abril e estas são algumas das últimas novidades no mundo da cibersegurança!

Violação da MITRE Corporation por parte de um Estado-nação

Esta semana, a comunidade de cibersegurança foi alertada para uma sofisticada violação na MITRE Corporation, levada a cabo por um ator de um Estado-nação. A MITRE é parte integrante da segurança nacional dos EUA, gerindo vários centros de investigação e desenvolvimento financiados pelo governo federal. A violação envolveu a exploração de duas vulnerabilidades críticas: CVE-2023-46805, com uma pontuação CVSS de 8,2, e CVE-2024-21887, com uma pontuação CVSS de 9,1. Estas vulnerabilidades permitiram aos atacantes contornar os mecanismos de autenticação e executar comandos arbitrários em sistemas comprometidos.

Os atacantes iniciaram a sua campanha com e-mails de spear-phishing, o que levou à instalação de payloads backdoor para acesso inicial. Posteriormente, exploraram os CVE acima mencionados para obter um acesso mais profundo e controlo sobre os sistemas da MITRE. Após o comprometimento inicial, os atacantes moveram-se lateralmente dentro da rede, visando e violando a sua infraestrutura VMware utilizando uma conta de administrador comprometida. Este movimento lateral permitiu a implementação de backdoors e web shells adicionais, o que facilitou a persistência dentro da rede e a recolha de credenciais.

É importante notar, no entanto, que o MITRE indicou que a sua rede empresarial principal, conhecida como NERVE - uma rede colaborativa não classificada que fornece recursos de armazenamento, computação e rede - não foi afetada por esta violação. Isto sugere que, embora os atacantes tenham conseguido infiltrar-se em certos aspectos dos sistemas do MITRE, a infraestrutura operacional central permanece segura e não há provas de que os sistemas dos parceiros tenham sido afectados.

Para os nossos clientes, este facto sublinha a importância de proteger os perímetros organizacionais contra ameaças sofisticadas semelhantes. O reforço da segurança dos terminais, a melhoria dos processos de autenticação dos utilizadores e o aumento da monitorização da rede são passos essenciais para proteger os dados sensíveis contra estas intrusões de alto nível.

Ataques à identidade sem rede

Com a escalada dos ataques baseados na identidade, estamos a assistir a uma mudança significativa no panorama da cibersegurança. O último relatório de ameaças globais da CrowdStrike indica que 75% dos ataques relacionados com o acesso não continham malware, baseando-se antes em técnicas mais discretas, como o roubo de credenciais e a manipulação de processos de autenticação padrão. Isto reflecte uma tendência crescente para ataques "conscientes da nuvem", que registaram um aumento dramático de 110%. Estes ataques são tentativas deliberadas de visar os serviços em nuvem, com o objetivo de comprometer funcionalidades específicas em vez de explorar vulnerabilidades de forma oportunista.

Além disso, a Microsoft relata aproximadamente 4.000 ataques de senha por segundo visando identidades na nuvem. A Google também indicou que os ataques concebidos para roubar cookies de sessão - para contornar a autenticação multi-fator (MFA) - estão a ocorrer com uma frequência alarmante, quase ao mesmo nível dos ataques baseados em palavras-passe.

Os ataques de alto nível de grupos como o APT29 (também conhecido como Cozy Bear ou The Dukes) e o Scattered Spider (também conhecido como 0ktapus), que visam serviços de fornecedores de identidade (IdP), aplicações de software como serviço (SaaS) e mecanismos de início de sessão único/OAuth, demonstram o foco estratégico dos actores de ameaças modernos. Estas violações contra plataformas importantes como a Microsoft e a Okta realçam a necessidade crítica de estratégias robustas de proteção da identidade.

Em resposta a estes desenvolvimentos, é essencial que as organizações melhorem as suas medidas de proteção da identidade. Isto pode incluir o reforço dos processos de autenticação de utilizadores, a implementação de estruturas de confiança zero e o aumento da sensibilização e formação dos funcionários para reconhecerem e mitigarem os riscos associados a ataques baseados na identidade. Trabalhamos em estreita colaboração com os nossos parceiros para proteger as suas aplicações SaaS e infra-estruturas mais amplas utilizando soluções Zero Trust avançadas da Cloudflare e da Duo.

Comentários do GitHub usados para espalhar malware

Foi comunicado um novo método de distribuição de malware que envolve o abuso de comentários no GitHub. Os atacantes estão a incorporar URLs maliciosos nos comentários de repositórios populares, que depois redireccionam para sites carregados de malware quando clicados por utilizadores desprevenidos. Esta técnica destaca um novo vetor de ataque - abusar da confiança e utilidade de plataformas como o GitHub para espalhar software nocivo.

As organizações devem informar os seus programadores sobre os riscos de interagir com ligações desconhecidas e garantir a aplicação de medidas de segurança adequadas, incluindo a utilização de soluções de filtragem da Web e anti-malware para evitar que essas ameaças comprometam os sistemas.

Em conclusão

À medida que o panorama das ameaças digitais continua a evoluir, é fundamental mantermo-nos informados sobre as mais recentes metodologias de ataque e melhorar as nossas estratégias defensivas. Em Forefront, continuamos empenhados em fornecer-lhe os conhecimentos e as ferramentas necessárias para proteger a sua infraestrutura e os seus dados sensíveis contra ameaças cibernéticas cada vez mais sofisticadas.

Até à próxima semana,

Ilyas Esmail
Diretor Executivo, Forefront