Ataques Storm-0978 revelam motivos financeiros e de espionagem
21 de Setembro de 2023A Microsoft recentemente descobriu uma campanha de phishing realizada pelo grupo de hackers conhecido como Storm-0978, este que realizou ataques de phishing visando órgãos militares e governamentais na Europa, usando iscas relacionadas a assuntos políticos ucranianos. Após comprometer as organizações-alvo, eles distribuíram backdoors e roubaram credenciais para uso em futuros ataques direcionados.
Em paralelo, o grupo também realizou ataques de ransomware em indústrias como telecomunicações e finanças.
Para realizar seus ataques, a Storm-0978 utilizou versões trojanizadas de softwares populares, como Adobe, Advanced IP Scanner, Solarwinds Network Performance Monitor, Solarwinds Orion, KeePass e Signal. Eles também registraram domínios maliciosos para hospedar os instaladores trojanizados.
Em ataques financeiros, o grupo utilizou ransomwares como Industrial Spy, Underground e Trigona. Além disso, eles adquiriram explorações para vulnerabilidades de dia zero, incluindo uma vulnerabilidade de execução de código remoto no Microsoft Word.
Para acessar as credenciais necessárias para os ataques de ransomware, a Storm-0978 utilizou o despejo de hashes de senha do Gerenciador de Contas de Segurança do Windows. Eles também utilizam ferramentas como SMBExec e WMIExec para se movimentar lateralmente na rede.
A Microsoft identificou semelhanças entre a Storm-0978 e outros grupos associados a ransomwares como Industrial Spy e Crypter. No entanto, desde julho de 2023, a Storm-0978 começou a utilizar uma variante de ransomware chamada Underground, que possui código semelhante ao Industrial Spy.
A semelhança de código entre as duas variantes de ransomware, bem como o envolvimento anterior da Storm-0978 nas operações do Industrial Spy, pode indicar que o Underground é um rebranding do ransomware Industrial Spy.
Histórico de espionagem do grupo:
Desde o final de 2022, a Microsoft tem identificado diversas campanhas atribuídas ao grupo de hackers Storm-0978. Essas operações, com base na natureza dos alvos e na atividade pós-compromisso, indicam motivações relacionadas à espionagem.
Em junho de 2023, o Storm-0978 realizou uma campanha de phishing direcionada a entidades de defesa e governamentais na Europa e América do Norte. Os e-mails de phishing continham um falso carregador do OneDrive, que entregava um backdoor com semelhanças ao RomCom. Os e-mails utilizavam iscas relacionadas ao Congresso Mundial da Ucrânia e exploravam a vulnerabilidade CVE-2023-36884.
Durante essa campanha, a Microsoft também identificou atividades simultâneas e separadas de ransomware do Storm-0978 contra um alvo não relacionado, utilizando as mesmas cargas iniciais. Isso destaca as diferentes motivações observadas nos ataques do Storm-0978.
Em dezembro de 2022, o Storm-0978 comprometeu uma conta de e-mail do Ministério da Defesa da Ucrânia para enviar e-mails de phishing. Os anexos desses e-mails continham PDFs com links para um site controlado pelo grupo, que hospedava malware para coletar informações.
Em outubro de 2022, o Storm-0978 criou sites falsos que imitavam instaladores de software legítimo e os utilizou em campanhas de phishing. O alvo eram usuários do governo ucraniano e organizações militares, visando entregar o RomCom e obter credenciais de alto valor.
Essas campanhas do Storm-0978 destacam a importância de estar sempre vigilante contra ataques cibernéticos e tomar medidas de segurança adequadas para proteger-se contra essas ameaças.
Como se precaver contra o Storm-0978:
A Microsoft oferece as seguintes recomendações para mitigar o impacto das operações do Storm-0978:
1. Ative a proteção na nuvem no Microsoft Defender Antivirus ou em seu produto antivírus equivalente para cobrir as técnicas de ataque em constante evolução. As proteções baseadas em aprendizado de máquina na nuvem bloqueiam a maioria das variantes novas e desconhecidas.
2. Execute o EDR (Endpoint Detection and Response) no modo de bloqueio para que o Microsoft Defender for Endpoint possa bloquear artefatos maliciosos, mesmo quando seu antivírus não-Microsoft não detectar a ameaça ou quando o Microsoft Defender Antivirus estiver em modo passivo. O EDR no modo de bloqueio trabalha nos bastidores para remediar artefatos maliciosos detectados após uma violação.
3. Habilite a investigação e correção no modo totalmente automatizado para permitir que o Microsoft Defender for Endpoint tome medidas imediatas em alertas e resolva violações, reduzindo significativamente o volume de alertas.
4. Utilize o Microsoft Defender para Office 365 para uma proteção aprimorada contra phishing e cobertura contra novas ameaças e variantes polimórficas. Certifique-se de que a proteção de Anexos Seguros e Links Seguros esteja ativada para usuários com Expurgo Automático de Zero Hora (ZAP) para remover e-mails quando um URL for armado após a entrega.
5. Os clientes do Microsoft 365 Defender podem ativar as regras de redução de superfície de ataque para evitar técnicas comuns usadas em ataques de ransomware, como bloquear criações de processos provenientes de comandos PsExec e WMI, bloquear a execução de arquivos executáveis, a menos que atendam a critérios específicos, e utilizar proteção avançada contra ransomware.
6. Bloqueie todos os aplicativos do Office de criar processos filhos.
Ao seguir essas recomendações, você pode reduzir o impacto das atividades do Storm-0978 e fortalecer a segurança de sua organização contra essas ameaças.