BianLian, um grupo de cibercriminosos conhecido por seus ataques de ransomware, recentemente chamou a atenção da comunidade de segurança da informação. Explorando vulnerabilidades na plataforma JetBrains TeamCity, eles conseguiram realizar ataques cibernéticos em vários estágios. Atores de ameaças supostamente iniciar sua cadeia de ataque com um backdoor baseado em Golang, e trabalhar até chegar à carga útil do ransomware.
BianLian explora vulnerabilidades do TeamCity
Uma pesquisa recente descobriu uma nova tendência no modus operandi de BianLian. Eles revelaram que os agentes de ameaças por trás do ransomware foram observados explorando falhas de segurança no software JetBrains TeamCity para conduzir seus ataques. Aproveitando vulnerabilidades conhecidas como CVE-2024-27198 ou CVE-2023-42793, os invasores obtiveram acesso inicial ao ambiente, abrindo caminho para mais infiltrações. Criando novos usuários e executando comandos maliciosos na infraestrutura do TeamCity, atores de ameaças manobras pós-exploração orquestradas e movimento lateral, expandindo sua posição na rede da vítima.
Implantação backdoor via PowerShell
O relatório original da GuidePoint Security diz que apesar do sucesso inicial, BianLian caiu para trás PowerShell version of their backdoor. Isso aconteceu devido à surpreendente detecção do Microsoft Defender. Ao mesmo tempo, hackers conseguiram implantar as ferramentas de reconhecimento de rede e usá-las antes de optar por um backdoor PS.
A versão backdoor do PowerShell, ofuscado para dificultar a análise, exibiu um esquema de criptografia multicamadas. Ainda, foi possível entender o que estava acontecendo e analisar as ações dos adversários. O malware estabeleceu uma conexão de túnel com o servidor de comando, acenando pronto para novas ações. E embora usar PS em ataques cibernéticos não seja algo incomum, backdoors inteiros baseados em PS, que também incorpora altos níveis de ofuscação, é uma nova tática.
Funcionalidade e capacidades do backdoor
O backdoor do PowerShell descrito acima principalmente visa facilitar o acesso secreto e controle sobre sistemas comprometidos. O resumo da pesquisa revela vários recursos deste malware que você deve conhecer.
O backdoor incorpora funcionalidade para resolver endereços IP com base nos parâmetros fornecidos, estabelecendo soquetes TCP para comunicação com comando e controle remoto (C2) servidores. Também, isso permite a troca bidirecional de dados entre o sistema comprometido e a infraestrutura controlada pelo invasor. Aqui está o código recuperado pelos analistas:
#Function to Resolve IP address
function cakest{
param($Cakes_Param_1)
IF ($Cakes_Param_1 -as [ipaddress]){
return $Cakes_Param_1
}else{
$Cakes_Resolved_IP = [System.Net.Dns]::GetHostAddresses($Cakes_Param_1)[0].IPAddressToString;
}
return $Cakes_Resolved_ IP
}
Aproveitando técnicas de execução assíncrona, o backdoor otimiza o desempenho e evita a detecção utilizando Runspace Pools. Isso permite que várias instâncias do PowerShell sejam executadas simultaneamente, aumentando a eficiência operacional durante atividades pós-exploração.
Também, para garantir uma comunicação segura, A porta de trás establishes SSL streams Entre o sistema comprometido e servidores C2, criptografando dados trocados pela rede. Ao empregar criptografia, os atores da ameaça mitigam o risco de interceptação e detecção por ferramentas de monitoramento de rede. Geral, a comunicação C2 se baseia neste código:
function cookies{
param (
#Default IP in parameter = 127.0.0.1
[String]$Cookies_Param1 - "0x7F000001",
[Int]$Cookies_Param2 - 1080,
[Switch]$Cookies_Param3 - $false,
[String]$Cookies_Param4 - "",
[Int]$Cookies_Params - 200,
[Int]$Cookies_Param6 - 0
)
Imitando táticas observadas em malware avançado, o backdoor valida certificados SSL apresentados por servidores C2, verificando a autenticidade de endpoints remotos. Esse mecanismo de autenticação aumenta a resiliência do canal de comunicação contra possíveis tentativas de interceptação ou infiltração.
Como se manter seguro?
O grupo de ameaça BianLian continua a evoluir, e à luz dos seus ataques recentes, isso é importante tomar medidas de segurança adequadas. Felizmente, eles são mais ou menos os mesmos, mesmo para proteção contra grupos de crimes cibernéticos de alto perfil.
- Em primeiro lugar, recomenda-se atualizar regularmente e corrigir aplicativos externos. Isso ajuda a mitigar vulnerabilidades conhecidas que os agentes de ameaças podem explorar para se infiltrar em seus sistemas.
- Garanta o seu a equipe é bem versada em procedimentos de resposta a incidentes. Cada membro da sua equipe deve ter um conhecimento profundo de como responder de forma eficaz a incidentes de segurança. Devem ser realizados exercícios regulares para refinar as estratégias de resposta e minimizar o impacto de possíveis violações de segurança.
- Conduza testes de penetração com base na inteligência de ameaças para identificar e abordar proativamente os pontos fracos em suas defesas. Os testes de penetração envolvem ataques simulados aos seus sistemas para descobrir vulnerabilidades que podem ser exploradas por agentes mal-intencionados. Usando inteligência de ameaças para informar esses testes, você pode se concentrar nas ameaças mais impactantes que sua organização enfrenta.
- Adicionalmente use soluções de segurança avançadas. EDR e XDR são obrigatórios, quando falamos sobre segurança cibernética de nível corporativo. Eles podem cobrir grandes redes de computadores, orquestrar a resposta e detectar até mesmo ataques sofisticados como o que descrevi acima.
