Boletim Diário: 05/02/2024

[github-actions[bot]]

:point_down:

[github-actions[bot]]

Boletim de Segurança

:arrow_right: Ataque sofisticado compromete servidor Atlassian da Cloudflare. Cloudflare revelou que foi alvo de um ataque provavelmente patrocinado por um estado-nação, no qual o ator de ameaça utilizou credenciais roubadas para obter acesso não autorizado ao seu servidor Atlassian, acessando assim alguma documentação e uma quantidade limitada de código-fonte. O ataque, que ocorreu entre 14 e 24 de novembro de 2023 e foi detectado em 23 de novembro, foi realizado “com o objetivo de obter acesso persistente e abrangente à rede global da Cloudflare”, descrevendo o ator como “sofisticado” e que “operou de maneira cuidadosa e metódica”. Como medida de precaução, a empresa disse que rotacionou mais de 5.000 credenciais de produção, segmentou fisicamente sistemas de teste e preparação, realizou triagens forenses em 4.893 sistemas, reimagem e reiniciou cada máquina em sua rede global. O incidente envolveu um período de reconhecimento de quatro dias para acessar os portais Atlassian Confluence e Jira, após o qual o adversário criou uma conta de usuário Atlassian falsa e estabeleceu acesso persistente ao servidor Atlassian para, finalmente, obter acesso ao sistema de gerenciamento de código-fonte Bitbucket por meio do framework de simulação de adversários Sliver. Cerca de 120 repositórios de código foram visualizados, dos quais estima-se que 76 tenham sido exfiltrados pelo atacante. “Os 76 repositórios de código-fonte estavam quase todos relacionados a como funcionam os backups, como a rede global é configurada e gerenciada, como funciona a identidade na Cloudflare, acesso remoto e nosso uso de Terraform e Kubernetes”, disse a Cloudflare. O ator de ameaças tentou, sem sucesso, “acessar um servidor de console que tinha acesso ao data center que a Cloudflare ainda não havia colocado em produção em São Paulo, Brasil”.

:arrow_right: Interpol identifica mais de 1.300 IPs suspeitos em esforço contra o cibercrime. Uma operação liderada pela INTERPOL, focada em ataques de phishing, malware bancário e ransomware, resultou na identificação de 1.300 endereços IP e URLs suspeitos. A ação policial, denominada Synergia, ocorreu entre setembro e novembro de 2023, visando combater o “crescimento, escalada e profissionalização do cibercrime transnacional”. Envolvendo 60 agências de aplicação da lei de 55 países membros, a operação facilitou a detecção de mais de 1.300 servidores maliciosos, 70% dos quais já foram desativados na Europa. As autoridades de Hong Kong e Singapura desativaram 153 e 86 servidores, respectivamente. Servidores, bem como dispositivos eletrônicos, foram confiscados após mais de 30 buscas domiciliares. Até o momento, setenta suspeitos foram identificados, e 31 deles, provenientes da Europa, Sudão do Sul e Zimbábue, foram presos. A Group-IB, sediada em Singapura e que também contribuiu para a operação, identificou “mais de 500 endereços IP hospedando recursos de phishing e mais de 1.900 endereços IP associados a operações de ransomware, trojans e malware bancário”.”Os resultados desta operação, alcançados através dos esforços coletivos de vários países e parceiros, mostram nosso compromisso inabalável em proteger o espaço digital”, disse Bernardo Pillot, diretor assistente da Diretoria de Cibercrime da INTERPOL. Ao desmantelar a infraestrutura por trás de ataques de phishing, malware bancário e ransomware, estamos um passo mais perto de proteger nossos ecossistemas digitais e proporcionar uma experiência online mais segura e protegida para todos.

:arrow_right: APT28 lança campanha de ataques cibernéticos contra setores críticos. Hackers patrocinados pelo estado russo, conhecidos como APT28, realizaram ataques de retransmissão de hashes NT LAN Manager (NTLM) v2 de abril de 2022 a novembro de 2023, visando alvos de alto valor em todo o mundo. APT28, também conhecido por vários outros nomes como Fancy Bear e Sofacy, é operado pelo serviço de inteligência militar da Rússia, GRU, e tem um histórico de campanhas de spear-phishing e comprometimentos estratégicos da web para ativar cadeias de infecção. Esses ataques visam organizações envolvidas em assuntos estrangeiros, energia, defesa e transporte, bem como aquelas ligadas ao trabalho, bem-estar social, finanças, paternidade e conselhos municipais locais. A Trend Micro avaliou essas intrusões como um método custo-eficiente de automatizar tentativas de forçar a entrada nas redes de seus alvos, notando que o adversário pode ter comprometido milhares de contas de e-mail ao longo do tempo. Em abril de 2023, o APT28 foi implicado em ataques que exploravam falhas corrigidas em equipamentos de rede da Cisco para realizar reconhecimento e implantar malware contra alvos selecionados. Em dezembro, o ator de ameaça ganhou destaque por explorar uma falha de escalonamento de privilégios no Microsoft Outlook (CVE-2023-23397) e um bug de execução de código no WinRAR (CVE-2023-38831) para acessar o hash Net-NTLMv2 de um usuário e usá-lo para realizar um ataque de retransmissão NTLM para obter acesso não autorizado a caixas de correio pertencentes a empresas dos setores público e privado. Uma das características significativas dos ataques do ator de ameaça é a tentativa contínua de aprimorar seu playbook operacional, ajustando e modificando suas abordagens para evitar a detecção. Isso inclui a adição de camadas de anonimização, como serviços VPN, endereços IP de data centers e roteadores EdgeOS comprometidos, para realizar atividades de varredura e sondagem. Outra tática envolve o envio de mensagens de spear-phishing de contas de e-mail comprometidas através de Tor ou VPN.

Agradecimentos ao Thierre Madureira de Souza pela inspiração Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/ Aprenda a programar em Codaqui.dev Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/