Recém Descoberto Ataque de “Watering Hole” é Dirigido a Organizações Ucranianas e Canadenses

Segurança
14/04/2021

Uma análise do Black Lotus Labs® descobriu um conjunto de websites comprometidos utilizados anteriormente em uma série de ataques de “watering hole”. Qualquer visitante que navegasse por um dos sites seria inadvertidamente infectado e estaria vulnerável ao ator da ameaça, que roubaria uma cópia de suas credenciais de autenticação Windows e poderia utilizá-la para se passar por ele. Inicialmente, identificamos esta atividade em diversos websites ucranianos; uma análise subsequente revelou que o ator comprometeu também um website canadense.

Detalhes Técnicos
Ataques de “watering hole” afetam os usuários finais que visitam um website específico, injetando uma função maliciosa no código do website, que é depois executada pelas máquinas das vítimas. No caso destes websites, um JavaScript malicioso induzia os dispositivos das vítimas a enviar hashes de New Technology LAN Manager (NTLM) para um servidor controlado por um ator utilizando Bloco de Mensagem de Servidor (SMB), um protocolo de comunicações que permite o acesso compartilhado a recursos de sistemas, tais como impressoras e arquivos. Na maioria dos ambientes Windows, o protocolo NTLM é utilizado como um mecanismo de autenticação para os vários usuários de um sistema. Uma vez que estes hashes são obtidos pelo ator da ameaça, ele pode, em alguns casos, ser decifrado offline, o que pode revelar ainda nomes de usuários e senhas que podem ser aproveitados para operações subsequentes, tais como acessar contas de e-mail ou outros recursos corporativos.

Estes tipos de ataques de “watering hole” têm sido usados há anos, mas nosso interesse neste vetor foi renovado após um destes comprometimentos ter sido detectado no website do Aeroporto Internacional de São Francisco (SFO) em abril de 2020. Quando as vítimas navegavam pelo website, suas máquinas tentavam recuperar um arquivo “icon.png” que estava hospedado em um servidor remoto. As máquinas das vítimas usavam o caminho da convenção de nomenclatura universal (UNC) para iniciar uma conexão saínte usando SMB para o link: file:// [IP address] /icon.png. Os atacantes podiam então configurar um ouvinte para receber os hashes NTLM das vítimas, que podiam então ser decifrados offline.

Embora este vetor de ataque tenha sido observado inicialmente no website do SFO, observamos funções JavaScript maliciosas similares em diversos websites na Ucrânia e no Canadá que parecem exibir a mesma técnica. Estamos, portanto, agrupando esta atividade no mesmo ator. Uma cópia do JavaScript pode ser encontrada abaixo.

Cópia do código JavaScript malicioso encontrado nos websites comprometidos

Este código foi descoberto em três websites únicos, todos hospedados no mesmo endereço IP baseado na Ucrânia: 185.68.16[.]193. Isto poderia indicar que os atores das ameaças foram capazes de obter acesso ao servidor web e portanto acessar todos os websites hospedados nele. Cada um destes sites está associado a entidades de fabricação ucranianas, uma das quais anuncia que fabrica equipamentos para as autoridades legais e para a proteção energética. Os websites e as datas da atividade maliciosa observada são:
• azo.od[.]ua, 15 de outubro, 2020
• azo.od[.]ua, 15 de outubro, 2020
• telecard.com[.]ua, 31 de março, 2020.

Se uma máquina vulnerável tiver visitado estes websites, tentaria recuperar um arquivo remoto localizado no arquivo://213.133.122[.]42/icon.png.
O segundo grupo de sites com ataques de “watering hole” incluiu um time de futebol ucraniano e um banco de investimentos. Os websites e as datas da atividade maliciosa observada foram:
• fcdynamo.kiev[.]ua, 15 de maio, 2020
• dragon-capital[.]com, 17 de dezembro, 2019

Se uma máquina vulnerável tiver visitado estes websites, tentaria recuperar um arquivo remoto localizado no arquivo://5.9.59[.]54/icon.png.
O terceiro grupo de sites com ataques de “watering hole” estava associado a organizações de mídia ucraniana. Os websites e as datas da atividade maliciosa observada são:
• zoomua[.]tv, 18 de maio, 2019
• unn.com[.]ua, 21 de maio, 2020
• ntn[.]ua, 3 de março, 2019

Se uma máquina vulnerável tiver visitado um destes websites, tentou recuperar um arquivo remoto localizado no arquivo://139.59.179[.]55/icon.png.

Página de resultados de busca Google em cache exibindo a função JavaScript maliciosa

O quarto grupo de sites de ataques de “watering hole” estava associado a empresas de petrolíferas, uma baseada na Ucrânia e a outra no Canadá.
• oilandgas.dtek[.]com, 13 de maio, 2019
• dtek[.]com, 13 de maio, 2019
• investecogas[.]com, 14 de fevereiro, 2019

Se uma máquina vulnerável tiver visitado estes websites, tentou recuperar um arquivo remoto localizado no arquivo://91.208.138[.]8/icon.png.

Lista dos websites comprometidos e seus ouvintes SMB correspondentes

Recomendações para mitigação
O Black Lotus Labs continua a monitorar este ator e tipo de atividade de “watering hole”. Para proteger-se deste tipo de ataque, as organizações devem configurar seus firewalls para evitar que as comunicações saíntes baseadas em SMB deixem a rede. Se as organizações não estiverem utilizando este protocolo internamente, podem querer considerar desativar ou limitar SMB no ambiente corporativo. Se nenhuma das opções for viável para uma organização, ela pode limitar o uso de JavaScript em um website desconhecido ou não confiável. Os usuários que estiverem preocupados com ataques de “watering hole” também podem considerar desligar JavaScript através de um plugin como NoScript.

Notificamos os proprietários dos websites comprometidos para interromper estes ataques contínuos. Se quiser colaborar com uma pesquisa similar a esta, por favor contate-nos no twitter @BlackLotusLabs.

Recomenda-se às organizações que buscam evitar ataques de “watering hole” que atualizem software e navegadores com a maior frequência possível, monitorem e inspecionem regularmente os websites visitados com frequência para garantir que estejam livres de malware, e bloqueiem o acesso dos usuários a sites comprometidos conhecidos.

Indicadores de comprometimento
Websites comprometidos e seus endereços IP
azo[.]od[.]ua
     185.68.16[.]193
vistec[.]ua
     185.68.16[.]193
vistec[.]ua
     185.68.16[.]193
fcdynamo[.]kiev[.]ua
     104.26.14[.]194
dragon-capital[.]com
     91.90.196[.]26
zoomua[.]tv
     62.149.26[.]233
unn[.]com[.]ua
     104.27.139[.]240
ntn[.]ua
     62.149.26[.]232
dtek[.]com
     45.60.75[.]78
investecogas[.]com
     77.72.135[.]227

Nodos SMB
213.133.122[.]42/icon.png
51.159.28[.]101/icon.png
139.59.179[.]55/icon.png
91.208.138[.]8/icon.png

Esta informação é fornecida “como está”, sem qualquer garantia ou condição de qualquer tipo, seja expressa ou implícita. A utilização desta informação se dá por conta e risco do usuário final.

Compartilhar

Artigos Recentes

Um 2024 dominado pela IA: A infraestrutura para sua consolidação avançará em 2025?

by | dez 9, 2024 | Tendências de TI | 0 Comments

Um 2024 dominado pela IA: A infraestrutura para sua consolidação avançará em 2025?       O ano de 2024 será lembrado como um ano de revolução nas...

Serviço de telefonia empresarial para as organizações atuais

by | dez 2, 2024 | UC&C | 0 Comments

Serviço de telefonia empresarial para as organizações atuais   Os sistemas na nuvem são uma excelente opção para o serviço de telefonia empresarial porque utilizam...

Infraestrutura digital sustentável: motor de inovação, competitividade e economia energética

by | nov 19, 2024 | Data Center & Hybrid Cloud | 0 Comments

Infraestrutura digital sustentável: motor de inovação, competitividade e economia energética   Como as empresas podem reduzir o impacto ambiental causado pela...

en el sector retail

As salas de reuniões do futuro, disponíveis no presente

by | out 31, 2024 | UC&C | 0 Comments

As salas de reuniões do futuro, disponíveis no presente   As tecnologias disponíveis já permitem encontros colaborativos, imersivos e altamente produtivos que oferecem...

Data Centers, Mercado Livre de Energia e ESG

by | out 3, 2024 | Data Center & Hybrid Cloud | 0 Comments

Data Centers, Mercado Livre de Energia e ESG Novas tecnologias e serviços emergentes como a Inteligência Artificial, mercado crypto, entre outras, aceleram as demandas...

Feliz CX Day 2024!

by | out 1, 2024 | Tendências de TI,Tendências de TI | 0 Comments

Feliz CX Day 2024!   Na Cirion, cada interação conta, e a sua confiança é o motor que nos impulsiona a continuar crescendo e inovando. Desde o início, colocamos...

CDN, Emoção e Segurança

by | set 25, 2024 | Conectividade,Tendências de TI | 0 Comments

CDN, Emoção e Segurança   Se hoje você consegue acompanhar e se emocionar durante eventos esportivos, shows e games – em tempo real e com alta qualidade de som e...

Quais tarefas específicas a IA pode automatizar?

by | set 16, 2024 | UC&C | 0 Comments

Quais tarefas específicas a IA pode automatizar?   A IA generativa mudou não só todas as profissões como também está mudando nossa percepção sobre o que é...

Data Center

Inteligência artificial: uma travessia em sua etapa inicial

by | ago 22, 2024 | Tendências de TI | 0 Comments

Inteligência artificial: uma travessia em sua etapa inicial   A Inteligência Artificial (IA) está surgindo como um dos motores mais poderosos da transformação...

Tecnología WiFi 7

Manual para entender o que é WiFi 7 e como pode ajudar a melhorar a segurança informática

by | jul 23, 2024 | Conectividade | 0 Comments

    A tecnologia WiFi 7, de sétima geração, pode superar muito suas versões anteriores em termos de capacidade, velocidade de conexão e latência. Especialistas da...