Recém Descoberto Ataque de “Watering Hole” é Dirigido a Organizações Ucranianas e Canadenses
Segurança
14/04/2021
Print Friendly, PDF & Email

Recém Descoberto Ataque de “Watering Hole” é Dirigido a Organizações Ucranianas e Canadenses

Uma análise do Black Lotus Labs® descobriu um conjunto de websites comprometidos utilizados anteriormente em uma série de ataques de “watering hole”. Qualquer visitante que navegasse por um dos sites seria inadvertidamente infectado e estaria vulnerável ao ator da ameaça, que roubaria uma cópia de suas credenciais de autenticação Windows e poderia utilizá-la para se passar por ele. Inicialmente, identificamos esta atividade em diversos websites ucranianos; uma análise subsequente revelou que o ator comprometeu também um website canadense.

Detalhes Técnicos
Ataques de “watering hole” afetam os usuários finais que visitam um website específico, injetando uma função maliciosa no código do website, que é depois executada pelas máquinas das vítimas. No caso destes websites, um JavaScript malicioso induzia os dispositivos das vítimas a enviar hashes de New Technology LAN Manager (NTLM) para um servidor controlado por um ator utilizando Bloco de Mensagem de Servidor (SMB), um protocolo de comunicações que permite o acesso compartilhado a recursos de sistemas, tais como impressoras e arquivos. Na maioria dos ambientes Windows, o protocolo NTLM é utilizado como um mecanismo de autenticação para os vários usuários de um sistema. Uma vez que estes hashes são obtidos pelo ator da ameaça, ele pode, em alguns casos, ser decifrado offline, o que pode revelar ainda nomes de usuários e senhas que podem ser aproveitados para operações subsequentes, tais como acessar contas de e-mail ou outros recursos corporativos.

Estes tipos de ataques de “watering hole” têm sido usados há anos, mas nosso interesse neste vetor foi renovado após um destes comprometimentos ter sido detectado no website do Aeroporto Internacional de São Francisco (SFO) em abril de 2020. Quando as vítimas navegavam pelo website, suas máquinas tentavam recuperar um arquivo “icon.png” que estava hospedado em um servidor remoto. As máquinas das vítimas usavam o caminho da convenção de nomenclatura universal (UNC) para iniciar uma conexão saínte usando SMB para o link: file:// [IP address] /icon.png. Os atacantes podiam então configurar um ouvinte para receber os hashes NTLM das vítimas, que podiam então ser decifrados offline.

Embora este vetor de ataque tenha sido observado inicialmente no website do SFO, observamos funções JavaScript maliciosas similares em diversos websites na Ucrânia e no Canadá que parecem exibir a mesma técnica. Estamos, portanto, agrupando esta atividade no mesmo ator. Uma cópia do JavaScript pode ser encontrada abaixo.

Cópia do código JavaScript malicioso encontrado nos websites comprometidos

Este código foi descoberto em três websites únicos, todos hospedados no mesmo endereço IP baseado na Ucrânia: 185.68.16[.]193. Isto poderia indicar que os atores das ameaças foram capazes de obter acesso ao servidor web e portanto acessar todos os websites hospedados nele. Cada um destes sites está associado a entidades de fabricação ucranianas, uma das quais anuncia que fabrica equipamentos para as autoridades legais e para a proteção energética. Os websites e as datas da atividade maliciosa observada são:
• azo.od[.]ua, 15 de outubro, 2020
• azo.od[.]ua, 15 de outubro, 2020
• telecard.com[.]ua, 31 de março, 2020.

Se uma máquina vulnerável tiver visitado estes websites, tentaria recuperar um arquivo remoto localizado no arquivo://213.133.122[.]42/icon.png.
O segundo grupo de sites com ataques de “watering hole” incluiu um time de futebol ucraniano e um banco de investimentos. Os websites e as datas da atividade maliciosa observada foram:
• fcdynamo.kiev[.]ua, 15 de maio, 2020
• dragon-capital[.]com, 17 de dezembro, 2019

Se uma máquina vulnerável tiver visitado estes websites, tentaria recuperar um arquivo remoto localizado no arquivo://5.9.59[.]54/icon.png.
O terceiro grupo de sites com ataques de “watering hole” estava associado a organizações de mídia ucraniana. Os websites e as datas da atividade maliciosa observada são:
• zoomua[.]tv, 18 de maio, 2019
• unn.com[.]ua, 21 de maio, 2020
• ntn[.]ua, 3 de março, 2019

Se uma máquina vulnerável tiver visitado um destes websites, tentou recuperar um arquivo remoto localizado no arquivo://139.59.179[.]55/icon.png.

Página de resultados de busca Google em cache exibindo a função JavaScript maliciosa

O quarto grupo de sites de ataques de “watering hole” estava associado a empresas de petrolíferas, uma baseada na Ucrânia e a outra no Canadá.
• oilandgas.dtek[.]com, 13 de maio, 2019
• dtek[.]com, 13 de maio, 2019
• investecogas[.]com, 14 de fevereiro, 2019

Se uma máquina vulnerável tiver visitado estes websites, tentou recuperar um arquivo remoto localizado no arquivo://91.208.138[.]8/icon.png.

Lista dos websites comprometidos e seus ouvintes SMB correspondentes

Recomendações para mitigação
O Black Lotus Labs continua a monitorar este ator e tipo de atividade de “watering hole”. Para proteger-se deste tipo de ataque, as organizações devem configurar seus firewalls para evitar que as comunicações saíntes baseadas em SMB deixem a rede. Se as organizações não estiverem utilizando este protocolo internamente, podem querer considerar desativar ou limitar SMB no ambiente corporativo. Se nenhuma das opções for viável para uma organização, ela pode limitar o uso de JavaScript em um website desconhecido ou não confiável. Os usuários que estiverem preocupados com ataques de “watering hole” também podem considerar desligar JavaScript através de um plugin como NoScript.

Notificamos os proprietários dos websites comprometidos para interromper estes ataques contínuos. Se quiser colaborar com uma pesquisa similar a esta, por favor contate-nos no twitter @BlackLotusLabs.

Recomenda-se às organizações que buscam evitar ataques de “watering hole” que atualizem software e navegadores com a maior frequência possível, monitorem e inspecionem regularmente os websites visitados com frequência para garantir que estejam livres de malware, e bloqueiem o acesso dos usuários a sites comprometidos conhecidos.

Indicadores de comprometimento
Websites comprometidos e seus endereços IP
azo[.]od[.]ua
     185.68.16[.]193
vistec[.]ua
     185.68.16[.]193
vistec[.]ua
     185.68.16[.]193
fcdynamo[.]kiev[.]ua
     104.26.14[.]194
dragon-capital[.]com
     91.90.196[.]26
zoomua[.]tv
     62.149.26[.]233
unn[.]com[.]ua
     104.27.139[.]240
ntn[.]ua
     62.149.26[.]232
dtek[.]com
     45.60.75[.]78
investecogas[.]com
     77.72.135[.]227

Nodos SMB
213.133.122[.]42/icon.png
51.159.28[.]101/icon.png
139.59.179[.]55/icon.png
91.208.138[.]8/icon.png

Esta informação é fornecida “como está”, sem qualquer garantia ou condição de qualquer tipo, seja expressa ou implícita. A utilização desta informação se dá por conta e risco do usuário final.

Compartilhar

Artigos Recentes

10 recomendações para enfrentar as ciberameaças no setor de varejo

by | jun 6, 2024 | Segurança | 0 Comments

Diante do crescimento do comércio online, as empresas de varejo devem fortalecer suas políticas de cibersegurança. Ricardo Pulgarín, especialista em cibersegurança da...

Cibersegurança: fundamental para “fechar as portas” para os atacantes

by | maio 21, 2024 | Segurança | 0 Comments

O foco na visibilidade da rede, a disponibilidade das aplicações, a resiliência dos data centers, a capacitação das pessoas e o monitoramento contínuo da...

Um guia para começar a usar seu assistente de IA Companion

by | maio 16, 2024 | Tendências de TI,UC&C | 0 Comments

  No acelerado ambiente de trabalho atual, as prioridades são maximizar a produtividade e melhorar a colaboração.  Felizmente, a tecnologia de IA pode ajudar nisto...

Conectando Latitudes: Rumo a um futuro digital seguro e eficiente na América Latina

by | maio 15, 2024 | Conectividade,Tendências de TI | 0 Comments

  O dia 17 de maio é o Dia Mundial das Telecomunicações e da Sociedade da Informação, momento propício para refletirmos sobre os avanços e perspectivas dessa área...

O futuro dos data centers na América Latina: transformação impulsionada pela inteligência artificial

by | maio 2, 2024 | Data Center & Hybrid Cloud | 0 Comments

Em um mundo cada vez mais interconectado, a inteligência artificial será um motor de transformação para a indústria de data centers na América Latina   A inteligência...

A inevitável transição para SASE: mais além da segurança legada

by | abr 16, 2024 | Segurança | 0 Comments

A crescente complexidade das ameaças cibernéticas exige uma evolução nas abordagens de segurança, deixando para trás as soluções legadas baseadas em hardware e adotando...

Como ajudar suas equipes de vendas com a Inteligência Conversacional (2ª parte)

by | mar 26, 2024 | UC&C | 0 Comments

Em nosso artigo anterior, discorremos sobre a diferença entre Inteligência Conversacional e IA Conversacional - algo bem sutil mas com aspectos e aplicações diferentes...

O que eu, mulher, já vivi no mercado de Tecnologia?

by | mar 19, 2024 | Tendências de TI | 0 Comments

Como minhas experiências e desafios me ajudaram a conquistar espaço nesse setor Que mulher nunca ouviu alguma dessas frases no seu dia a dia de trabalho? “Lá vem a...

Façamos com que o futuro dependa de nós, estejamos cientes da IA e trabalhemos de acordo com ela

by | mar 18, 2024 | UC&C | 0 Comments

Adoro ler livros ou conversar com pessoas que enfrentam o olho do furacão quando ocorrem coisas transformadoras no mundo e, em particular, com aquelas ligadas a novas...

Inteligência Conversacional versus IA Conversacional. Qual é a diferença? (1ª parte)

by | fev 20, 2024 | UC&C | 0 Comments

Existe uma solução de Inteligência Conversacional (Conversation Intelligence) que melhora a produtividade, encurta os ciclos de negociação e aumenta a previsibilidade...