Threats
O grupo ataca empresas de telecomunicações de de Busines Process Outsourcing, aplicando técnicas de Bring Your Own Vulnerable Driver
12/01/2023
|
O grupo cibercriminoso Scattered Spider foi observado a explorar uma vulnerabilidade num driver de diagnóstico Intel Ethernet para Windows. Também denominado Roasted Oktapus e UNC3944, o grupo visa organizações de telecomunicações e de Business Process Outsourcing (BPO) desde junho de 2022. O grupo foi observado a recorrer a engenharia social e phishing para obter as credenciais das vítimas e OTP – one-time passwords –, e a implementar ferramentas de VPN e RMM após a infeção, disse a CrowdStrike em dezembro de 2022. A empresa explica que os cibercriminosos foram vistos a implementar um driver kernel malicioso nas últimas semanas, explorando a vulnerabilidade CVE-2015-2291, levando à execução arbitrária de código com privilégios kernel. “Esta vulnerabilidade tem sido utilizada por atacantes há vários anos para colocar drivers maliciosos no kernel do Windows. Esta técnica é conhecida como Bring Your Own Vulnerable Driver (BYOVD) e é uma tática que tem persistido devido a uma lacuna na segurança do Windows”, nota a CrowdStrike. De acordo com a SecurityWeek, desde o Windows Vista que a Microsoft bloqueou a execução de drivers kernel não aprovados, contudo, o BYOVD permite que os atacantes contornem a proteção e instalem um driver legitimamente aprovados, mas malicioso. Ferramentas disponíveis publicamente podem ser utilizadas para mapear os drivers não aprovados na memória. Apesar de a Microsoft ter anunciado que os drivers com vulnerabilidades de segurança seriam bloqueados do Windows 10, os dados mostram que os cibercriminosos são bem sucedidos em contornar as proteções. O grupo foi visto a tentar contornar as proteções oferecidas por diversas empresas de segurança, tanto pela Microsoft, como pela Palo Alto Networks, SentinelOne e CrowdStrike. “Embora a atividade delineada pareça visar indústrias específicas, as organizações de todos os tipos devem aplicar as lições aprendidas para endurecer as defesas contra tais ameaças”, conclui a CrowdStrike. |
Receba todas as novidades na sua caixa de correio!
THREATS
Microsoft corrige falhas de segurança críticas em RCE e zero day
ANALYSIS
Operação da Sophos descobre vasto ecossistema de adversários na China
THREATS
HPE corrige vulnerabilidades críticas em access points Aruba
THREATS
Microsoft confirma exploração de vulnerabilidade zero-day
NEWS
EUA lançam framework para utilização de IA em infraestruturas críticas
THREATS
Simuladores de movimento do rato são possíveis ciberameaças
THREATS
Cibercriminosos atacam vítimas na Europa com malware Strela Stealer
THREATS
Microsoft confirma exploração de vulnerabilidade zero-day
THREATS
Falha crítica em plugin do WordPress expôs mais de quatro milhões de sites
THREATS
Citrix corrige vulnerabilidades críticas no Session Recording Manager
