São Paulo — InkDesign News — Um novo método de ataque em gestão de patches foi identificado, onde um grupo de acessos iniciais com nexos na China tem invadido redes alvos explorando vulnerabilidades não corrigidas e, em seguida, realizando a correção das falhas para impedir que outros invasores tenham acesso.
Vetor de ataque
O ataque mais recente foi documentado pela Agência Nacional de Segurança Cibernética da França (ANSSI), que observou a campanha em ações contra organizações desde setembro do ano passado. Os invasores exploraram três vulnerabilidades do Ivanti Connect Secure — CVE-2024-8190, CVE-2024-8963 e CVE-2024-9380 — para obter acesso inicial às redes das vítimas antes que a Ivanti lançasse qualquer patch.
Impacto e resposta
Após a invasão, os atacantes rapidamente obtiveram credenciais e estabeleceram persistência nas redes comprometidas, incluindo o auto-patch das vulnerabilidades exploradas. Segundo a ANSSI, o objetivo principal dos atacantes era vender o acesso às redes comprometidas para outras organizações criminosas. “A principal motivação dos operadores é obter acessos iniciais através da coleta de credenciais e do uso de mecanismos de persistência.” (“The main motivation of its operators is to gain initial accesses through the harvesting of credentials and the deployment of persistence mechanisms.”)
“A principal motivação dos operadores é obter acessos iniciais através da coleta de credenciais e do uso de mecanismos de persistência.
(“The main motivation of its operators is to gain initial accesses through the harvesting of credentials and the deployment of persistence mechanisms.”)— Agência Nacional de Segurança Cibernética da França (ANSSI)
Análise e recomendações
Os pesquisadores consideram que a técnica de auto-patch é uma estratégia utilizada por grupos de ameaças avançadas para prevenir que outros atacantes se aproveitem de redes já comprometidas e para permanecer indetectados por mais tempo. Garrett Calpouzos, pesquisador de segurança na Sonatype, afirma: “[Alguns] grupos de ameaças desenvolvem seus próprios patches ou soluções alternativas para as vulnerabilidades que exploram, especialmente ao mirar em sistemas de alto valor.” (“[Some] threat groups develop their own patches or workarounds for vulnerabilities they exploit, especially when targeting high-value systems.”)
[Alguns] grupos de ameaças desenvolvem seus próprios patches ou soluções alternativas para as vulnerabilidades que exploram, especialmente ao mirar em sistemas de alto valor.
(“[Some] threat groups develop their own patches or workarounds for vulnerabilities they exploit, especially when targeting high-value systems.”)— Garrett Calpouzos, Pesquisador Principal, Sonatype
Os ataques Houken, conforme observado pela ANSSI, afetaram diversos setores na França, incluindo finanças, mídia, transporte, telecomunicações e governo, além de organizações em vários países do sudeste asiático. Especialistas recomendam que as organizações implementem uma abordagem proativa para a defesa cibernética, permanecendo atualizadas sobre as últimas correções e possuindo sistemas de monitoramento eficazes para identificar atividades suspeitas.
À medida que as táticas dos atacantes evoluem, as organizações precisam se preparar para um cenário de ameaças cada vez mais sofisticado e dinâmico.
Fonte: (Dark Reading – Segurança Cibernética)
