Os incidentes de segurança cibernética exploram cada vez mais as vulnerabilidades humanas, incluindo as de usuários privilegiados, conforme demonstrado em compromissos recentes envolvendo versões trojanizadas do cliente SSH Putty distribuído através da malvertrização no mecanismo de busca do Bing da Microsoft.
O Centro de Operações de Segurança (SOC) (MDR) (MDR) da LevelBlue (SOC) investigou recentemente vários casos em que os atacantes disfarçaram executáveis maliciosos como downloads legítimos, levando ao acesso inicial, persistência e ataques avançados em Active Directory ambientes.
A campanha, ativa desde pelo menos maio de 2024, aproveita os anúncios patrocinados imitando fontes oficiais de massa para fornecer cargas úteis assinadas com certificados fraudulentos, como os da “New Vision Marketing LLC”, ignorando as verificações iniciais de confiança.
Os pontos de extremidade do SentineLone detectaram indicadores de alto risco, incluindo downloads suspeitos de “putty.exe”, tráfego de rede anômalo para IPs maliciosos confirmados por meio do Virustotal, e anomalias comportamentais, como tentativas de kerberoasting e persistência por meio de tarefas programadas.
O malware, identificado como variantes do Broomstick/Oyster, solta DLLs como “Twain_96.dll” e “Green.dll” em diretórios de usuários como %AppData %e %Temp %, estabelecendo a execução de comandos remotos por meio de recompra e privilégios de escala.
Exploração de Kerberoasting
Após a execução, a massa armada cria tarefas programadas, como “Security Updater” ou “Firefox Agent Inc”, configuradas para executar em intervalos curtos e invocar DLLs maliciosos para persistência.
Essas DLLs facilitam as conexões de saída para os servidores de comando e controle (C2) sobre a porta 443, permitindo que os atores de ameaças executem comandos de descoberta via cmd.exe, incluindo “nltest /trusted_domains”, que são típicos do DOMINAS (NETS), que são típicos do grupo típico que são típicos que são típicos típicos que são típicos típicos que são típicos que são típicos “, que são típicos típicos”, que são típicos típicos “, que são típicos típicos”, que são típicos típicos “, que são típicos típicos”, que são típicos típicos “, que são típicos típicos”, que são típicos típicos “. Escotamento para alvos de alto valor.
Uma fase-chave envolveu uma memória Script PowerShell Para Kerberoasting, explorando as fraquezas de autenticação de Kerberos no Active Directory.
Este script carrega o System.IdentityModel Assembly, consulta LDAP para objetos de usuário com nomes principais de serviço (SPNS), solicita tickets criptografados RC4-HMAC usando KerberosRequestorSecurityToken e os extrai para cracking.
Os ambientes vulneráveis ao RC4-HMAC, sem aplicação da EAs, estão particularmente em risco, pois as contas de serviço comprometidas geralmente produzem acesso privilegiado ao movimento lateral.
A plataforma USM da LevelBlue Anywhere capturou os logs de ID do evento relacionado 4769, permitindo a identificação rápida de SPNs afetados e recomendações de redefinição de credenciais.
O design do script, desenhando da Invoke-Keroneast da PowerSploit, mas otimizado para operação somente de memória, exemplifica a adaptação dos atacantes dos binários de Living-Off-the-Land (LOLBins) para evitar a detecção.
Insights de campanha
Em resposta, os ativos afetados isolados de MDR de nível de MDR via SentineLone, contas comprometidas com deficiência e caçadas de ameaças em toda a frota usando as IOCs observadas, prematando execuções em outros ambientes.
As regras de detecção personalizadas foram implantadas para aprimorar as capacidades da SentineLone contra esses TTPs.
Análise adicional revelado A infraestrutura de malvertismo, incluindo domínios de digitação como Puttyy[.]Org e PuttySystems[.]com, que redirecionou para comprometer sites WordPress hospedando cargas úteis.
Os invasores variaram hashes, certificados de assinatura de código (por exemplo, de “The Comb Reivers Limited” ou “LLC Fortuna”) e nomes de tarefas para evitar as defesas baseadas em hash. Apesar de se reportar à publicidade da Microsoft, surgiram novas variantes, destacando deficiências na verificação do anúncio.
As organizações devem aplicar o treinamento do usuário, manter os repositórios de ferramentas examinados e bloquear domínios listados para mitigar essas ameaças, destacando que nenhum papel é imune à engenharia social.
Indicadores de compromisso (IOCs)
| Categoria | Indicadores |
|---|---|
| Domínios | Puttyy[.]org, puttysystems[.]com, Updaterputty[.]com, Putty[.]Aposta, Puttyy[.]com, Putty[.]Corra, Putty[.]Lat, Putty[.]nós[.]com, Heartlandenergy[.]Ai, massa[.]Rede, Ruben.findinit[.]com, ekeitoro.siteInwp[.]com, Danielaurel[.]TV |
| Significadores de arquivo | The Comb Reivers Limited, New Vision Marketing LLC, Progress LLC, LLC Fortuna, LLC Bravery, LLC INFOMED22 |
| IPS | 45.86.230[.]77, 185.208.159[.]119, 144.217.207[.]26, 85.239.52[.]99, 194.213.18[.]89 |
| URLs | HXXP[:]//185.208.158[.]119/api/jgfnsfnuefcnegfnehjbfncejfh, hxxp[:]//185.208.158[.]119/API/KCEHC, HXXP[:]//45.86.230[.]77: 443/reg, hxxp[:]//45.86.230[.]77: 443/login, hxxp[:]//85.239.52[.]99/api/jgfnsfnuefcnegfnehjbfncejfh, hxxp[:]//85.239.52[.]99/API/KCEHC, HXXP[:]//194.213.18[.]89: 443/reg, hxxp[:]//194.213.18[.]89: 443/login |
| Tarefas programadas | Security Updater, Firefox Agent Inc |
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!