Hackers usam o MS OneDrive para C2 em ataques persistentes. Sinais sugerem que o APT28 da Rússia, também conhecido como Fancy Bear, está por trás dos ataques, de acordo com uma nova pesquisa.

 

O grupo promove os interesses políticos do governo russo e é conhecido por hackear e-mails do Comitê Nacional Democrata para tentar influenciar o resultado das eleições presidenciais de 2016 nos Estados Unidos. Fancy Bear é classificado pela Fireeye como uma ameaça persistente avançada. Entre outras coisas, ele usa explorações de dia zero, spear phishing e malware para comprometer alvos.

 

Até o momento sabe-se que foi um caso de phishing, começou com um arquivo Excel infectado provavelmente enviado via e-mail. O arquivo continha uma exploração para CVE-2021-40444, uma vulnerabilidade crítica de execução remota de código em MSHTML ou “Trident”, mecanismo de navegador proprietário da Microsoft. A vulnerabilidade era uma falha de dia zero.

“Dia zero” é um termo amplo que descreve vulnerabilidades de segurança recém-descobertas que os hackers podem usar para atacar sistemas. O termo “dia zero” refere-se ao fato de que o fornecedor ou desenvolvedor acabou de saber da falha – o que significa que eles têm “zero dias” para corrigi-la. Um ataque de dia zero ocorre quando os hackers exploram a falha antes que os desenvolvedores tenham a chance de lidar com ela.

A exploração do agente da ameaça para a falha MSHTML resultou em um arquivo malicioso de biblioteca de vínculo dinâmico (DLL) executado na memória do sistema comprometido e baixando um componente de malware de terceiro estágio que a Trellix apelidou de “Graphite”. A análise do fornecedor de segurança Graphite mostrou que ele estava usando contas do Microsoft OneDrive como um servidor C2 por meio da API do Microsoft Graph – uma interface de programação de aplicativos da Web para acessar os serviços do Microsoft Cloud.

A tática permitiu que os invasores arrastassem comandos criptografados para as pastas das vítimas. O OneDrive sincronizaria com as máquinas da vítima e os comandos criptografados seriam executados, após o que qualquer informação solicitada seria criptografada e enviada de volta ao OneDrive do invasor, diz Chistiaan Beek.