Uma análise do Black Lotus Labs® descobriu um conjunto de websites comprometidos utilizados anteriormente em uma série de ataques de “watering hole”. Qualquer visitante que navegasse por um dos sites seria inadvertidamente infectado e estaria vulnerável ao ator da ameaça, que roubaria uma cópia de suas credenciais de autenticação Windows e poderia utilizá-la para se passar por ele. Inicialmente, identificamos esta atividade em diversos websites ucranianos; uma análise subsequente revelou que o ator comprometeu também um website canadense.
Detalhes Técnicos
Ataques de “watering hole” afetam os usuários finais que visitam um website específico, injetando uma função maliciosa no código do website, que é depois executada pelas máquinas das vítimas. No caso destes websites, um JavaScript malicioso induzia os dispositivos das vítimas a enviar hashes de New Technology LAN Manager (NTLM) para um servidor controlado por um ator utilizando Bloco de Mensagem de Servidor (SMB), um protocolo de comunicações que permite o acesso compartilhado a recursos de sistemas, tais como impressoras e arquivos. Na maioria dos ambientes Windows, o protocolo NTLM é utilizado como um mecanismo de autenticação para os vários usuários de um sistema. Uma vez que estes hashes são obtidos pelo ator da ameaça, ele pode, em alguns casos, ser decifrado offline, o que pode revelar ainda nomes de usuários e senhas que podem ser aproveitados para operações subsequentes, tais como acessar contas de e-mail ou outros recursos corporativos.
Estes tipos de ataques de “watering hole” têm sido usados há anos, mas nosso interesse neste vetor foi renovado após um destes comprometimentos ter sido detectado no website do Aeroporto Internacional de São Francisco (SFO) em abril de 2020. Quando as vítimas navegavam pelo website, suas máquinas tentavam recuperar um arquivo “icon.png” que estava hospedado em um servidor remoto. As máquinas das vítimas usavam o caminho da convenção de nomenclatura universal (UNC) para iniciar uma conexão saínte usando SMB para o link: file:// [IP address] /icon.png. Os atacantes podiam então configurar um ouvinte para receber os hashes NTLM das vítimas, que podiam então ser decifrados offline.
Embora este vetor de ataque tenha sido observado inicialmente no website do SFO, observamos funções JavaScript maliciosas similares em diversos websites na Ucrânia e no Canadá que parecem exibir a mesma técnica. Estamos, portanto, agrupando esta atividade no mesmo ator. Uma cópia do JavaScript pode ser encontrada abaixo.
Cópia do código JavaScript malicioso encontrado nos websites comprometidos
Este código foi descoberto em três websites únicos, todos hospedados no mesmo endereço IP baseado na Ucrânia: 185.68.16[.]193. Isto poderia indicar que os atores das ameaças foram capazes de obter acesso ao servidor web e portanto acessar todos os websites hospedados nele. Cada um destes sites está associado a entidades de fabricação ucranianas, uma das quais anuncia que fabrica equipamentos para as autoridades legais e para a proteção energética. Os websites e as datas da atividade maliciosa observada são:
• azo.od[.]ua, 15 de outubro, 2020
• azo.od[.]ua, 15 de outubro, 2020
• telecard.com[.]ua, 31 de março, 2020.
Se uma máquina vulnerável tiver visitado estes websites, tentaria recuperar um arquivo remoto localizado no arquivo://213.133.122[.]42/icon.png.
O segundo grupo de sites com ataques de “watering hole” incluiu um time de futebol ucraniano e um banco de investimentos. Os websites e as datas da atividade maliciosa observada foram:
• fcdynamo.kiev[.]ua, 15 de maio, 2020
• dragon-capital[.]com, 17 de dezembro, 2019
Se uma máquina vulnerável tiver visitado estes websites, tentaria recuperar um arquivo remoto localizado no arquivo://5.9.59[.]54/icon.png.
O terceiro grupo de sites com ataques de “watering hole” estava associado a organizações de mídia ucraniana. Os websites e as datas da atividade maliciosa observada são:
• zoomua[.]tv, 18 de maio, 2019
• unn.com[.]ua, 21 de maio, 2020
• ntn[.]ua, 3 de março, 2019
Se uma máquina vulnerável tiver visitado um destes websites, tentou recuperar um arquivo remoto localizado no arquivo://139.59.179[.]55/icon.png.
Página de resultados de busca Google em cache exibindo a função JavaScript maliciosa
O quarto grupo de sites de ataques de “watering hole” estava associado a empresas de petrolíferas, uma baseada na Ucrânia e a outra no Canadá.
• oilandgas.dtek[.]com, 13 de maio, 2019
• dtek[.]com, 13 de maio, 2019
• investecogas[.]com, 14 de fevereiro, 2019
Se uma máquina vulnerável tiver visitado estes websites, tentou recuperar um arquivo remoto localizado no arquivo://91.208.138[.]8/icon.png.
Lista dos websites comprometidos e seus ouvintes SMB correspondentes
Recomendações para mitigação
O Black Lotus Labs continua a monitorar este ator e tipo de atividade de “watering hole”. Para proteger-se deste tipo de ataque, as organizações devem configurar seus firewalls para evitar que as comunicações saíntes baseadas em SMB deixem a rede. Se as organizações não estiverem utilizando este protocolo internamente, podem querer considerar desativar ou limitar SMB no ambiente corporativo. Se nenhuma das opções for viável para uma organização, ela pode limitar o uso de JavaScript em um website desconhecido ou não confiável. Os usuários que estiverem preocupados com ataques de “watering hole” também podem considerar desligar JavaScript através de um plugin como NoScript.
Notificamos os proprietários dos websites comprometidos para interromper estes ataques contínuos. Se quiser colaborar com uma pesquisa similar a esta, por favor contate-nos no twitter @BlackLotusLabs.
Recomenda-se às organizações que buscam evitar ataques de “watering hole” que atualizem software e navegadores com a maior frequência possível, monitorem e inspecionem regularmente os websites visitados com frequência para garantir que estejam livres de malware, e bloqueiem o acesso dos usuários a sites comprometidos conhecidos.
Indicadores de comprometimento
Websites comprometidos e seus endereços IP
azo[.]od[.]ua
185.68.16[.]193
vistec[.]ua
185.68.16[.]193
vistec[.]ua
185.68.16[.]193
fcdynamo[.]kiev[.]ua
104.26.14[.]194
dragon-capital[.]com
91.90.196[.]26
zoomua[.]tv
62.149.26[.]233
unn[.]com[.]ua
104.27.139[.]240
ntn[.]ua
62.149.26[.]232
dtek[.]com
45.60.75[.]78
investecogas[.]com
77.72.135[.]227
Nodos SMB
213.133.122[.]42/icon.png
51.159.28[.]101/icon.png
139.59.179[.]55/icon.png
91.208.138[.]8/icon.png
Esta informação é fornecida “como está”, sem qualquer garantia ou condição de qualquer tipo, seja expressa ou implícita. A utilização desta informação se dá por conta e risco do usuário final.