Notícias

Jul 03, 2023

Fortra combate o uso indevido de suas ferramentas de segurança cibernética

O produto de transferência de arquivos GoAnywhere e versões não suportadas do Cobalt Strike foram manipulados em canais de entrega de malware, e o fornecedor, Fortra, diz que está trabalhando ativamente para neutralizar

O produto de transferência de arquivos GoAnywhere e versões não suportadas do Cobalt Strike foram manipulados em canais de entrega de malware, e o fornecedor, Fortra, diz que está trabalhando ativamente para neutralizar esse problema.

O GoAnywhere foi comprometido por invasores que exploraram uma vulnerabilidade de dia zero e usado para transmitir malware projetado para localizar e exfiltrar informações confidenciais dos sistemas de TI dos clientes Fortra. As vítimas incluem Rubrik, Hitachi, Rio Tinto, Hatch Bank, Community Health Systems e o Centro Médico da Universidade de Toledo.

Cobalt Strike é uma ferramenta de emulação de ameaças fornecida pelo fornecedor de segurança cibernética Fortra. Ele serve como um agente de malware chamariz conhecido como Beacon, que pode residir em um ambiente de TI por um longo período. Adquirida em 2020, a ferramenta foi desenvolvida para auxiliar os clientes na detecção de malware real que se infiltrou em seus sistemas. Lamentavelmente, versões não suportadas do Cobalt Strike foram cooptadas ou quebradas para distribuir malware real.

Um relatório da Microsoft explica: “Usada por profissionais de segurança legítimos para simular ataques cibernéticos em testes de defesa, a ferramenta também se tornou um instrumento favorito de criminosos que roubam e manipulam versões mais antigas para lançar ataques de ransomware em todo o mundo. Nos últimos dois anos, hackers usaram cópias crackeadas da ferramenta Cobalt Strike para tentar infectar cerca de 1,5 milhão de dispositivos.”

Pedimos a Matthew Schoenfeld, presidente da Fortra, que comentasse mais sobre esses casos de uso indevido de tecnologia de produto.

Blocos e arquivos: como o Fortra está combatendo o episódio de entrega de malware GoAnywhere DLP?

Matheus Schoenfeld: Para obter informações básicas, aqui está nossa declaração oficial sobre o que aconteceu em relação à vulnerabilidade de dia zero GoAnywhere: Em 30 de janeiro de 2023, fomos informados de atividades suspeitas em certas instâncias de nossa solução GoAnywhere MFTaaS (Managed File Transfer-as-a-Service) . Rapidamente implementamos uma interrupção temporária do serviço e iniciamos uma investigação.

Descobrimos entre 28 e 30 de janeiro de 2023 que uma parte não autorizada usou uma vulnerabilidade de execução remota de código (RCE) de dia zero, anteriormente desconhecida, para acessar determinados sistemas de clientes GoAnywhere. Esta vulnerabilidade foi atribuída CVE-2023-0669.

Nossa investigação inicial revelou que a parte não autorizada usou CVE-2023-0669 para criar contas de usuário não autorizadas em alguns ambientes de clientes MFTaaS. Para um subconjunto desses clientes, a parte não autorizada aproveitou essas contas de usuário para baixar arquivos de seus ambientes MFTaaS hospedados. Priorizamos a comunicação com cada um desses clientes para compartilhar o máximo de informações relevantes disponíveis para sua instância específica da plataforma GoAnywhere.

Durante a investigação, descobrimos que a parte não autorizada usou CVE-2023-0669 para instalar até duas ferramentas adicionais – “Netcat” e “Errors.jsp” – em alguns ambientes de clientes MFTaaS entre 28 de janeiro de 2023 e 31 de janeiro de 2023. O autor da ameaça não conseguiu instalar ambas as ferramentas em todos os ambientes do cliente e nenhuma das ferramentas foi instalada de forma consistente em todos os ambientes.

Quando identificamos as ferramentas utilizadas no ataque, comunicamos diretamente com cada cliente se alguma dessas ferramentas fosse descoberta em seu ambiente. Reprovisionamos um ambiente MFTaaS limpo e seguro e trabalhamos com cada cliente MFTaaS para implementar medidas de mitigação. Embora continuemos monitorando nosso ambiente hospedado, não há evidências de acesso não autorizado a ambientes de clientes que tenham sido mitigados e reprovisionados por nossa equipe.

Blocos e Arquivos: Este recente esforço da Microsoft no Cobalt Strike não é uma iniciativa de “fechar a porta do estábulo depois que os cavalos fugiram” – porque cópias crackeadas do Cobalt Strike também foram usadas para entregar malware?

Matheus Schoenfeld: No que diz respeito à nossa colaboração com a Microsoft e a Health-ISAC, a Fortra tomou muitas medidas para fortalecer a segurança geral do Cobalt Strike antes desta ação. Esses incluem: