Detecção e mitigação de ameaças avançadas: A atuação do SOC da Next4Sec
Detecção e mitigação de ameaças avançadas: A atuação do SOC da Next4Sec
A operação de SOC da Next4Sec detectou recentemente múltiplas ameaças persistentes avançadas (APTs) que estão ativamente explorando vulnerabilidades do VMWare para implantar os ransomwares Akria e Black Basta.
O que sabemos até agora
As vulnerabilidades relevantes impactam o VMWare ESXi e o vCenter Server. Segue abaixo quais são as vulnerabilidades descobertas e como são exploradas:
- CVE-2024-37085 (Pontuação CVSS 6.8)
– O que é: Uma vulnerabilidade de bypass de autenticação no VMWare ESXi.
– Como é explorada: Agentes de ameaça podem obter acesso total aos hosts ESXi relevantes recriando grupos do Azure Directory previamente configurados, mas deletados. - CVE-2024-37086 (Pontuação CVSS 6.8)
– O que é: Uma vulnerabilidade de leitura fora dos limites no VMWare ESXi.
– Como é explorada: Agentes de ameaça podem provocar uma condição de negação de serviço (DoS) em hosts de máquinas virtuais usando privilégios de administrador local em VMs com uma captura de tela existente. - CVE-2024-37087 (Pontuação CVSS 5.3)
– O que é: Uma vulnerabilidade de DoS no VMWare vCenter Server.
– Como é explorada: Agentes de ameaça com acesso à rede ao vCenter Server podem criar uma condição de DoS.
Risco Potencial
O APG avalia que qualquer organização que ainda esteja usando versões desatualizadas do ESXi e do vCenter Server está correndo um risco real de ser explorada por grupos de ransomware.
Esta semana, pesquisadores de segurança da Microsoft relataram exploração ativa especificamente da CVE-2024-37085 em campo por múltiplos operadores de ransomware, incluindo:
- Storm-0506
- Storm-1175
- Octo Tempest (também conhecido como Scattered Spider)
- Manatee Tempest (possivelmente associado ao grupo de ameaças Evil Corp)
Esses grupos de ameaças executaram comandos para criar um grupo do Azure Directory “ESX Admins” no domínio alvo:
- Net group “ESX Admins” /domain /add
- Net group “ESX Admins” nome_de_usuário /domain /add
Os agentes de ameaça também usaram as seguintes ferramentas para obter acesso e controle total dos sistemas comprometidos:
- Malware Qakbot para acesso inicial
- Cobalt Strike e Pypykatz para roubo de credenciais
- Ransomwares Akira e Black Basta.
Como mitigar o risco potencial do VMWare
De acordo com a empresa-mãe da VMWare, Broadcom, as organizações devem aplicar as seguintes mitigações:
- Atualize seus sistemas! Aplique atualizações de software para VMware ESXi e vCenter Server
- Se não puder atualizar: Aplique as soluções alternativas da CVE-2024-37085 o A partir de 31 de julho de 2024, não há soluções alternativas para CVE-2024-37086 e CVE-2024-37087
Status atual do SOC para exploração ativa do VMWare
Nossa equipe de SOC ativo, que possuem profissionais altamente capacitados e experientes na área, não coletaram nenhum indicador de comprometimento (IoCs) nos ambientes dos nossos parceiros mostrando exploração de agentes de ameaça do VMWare ESXi ou vCenter Server.
Nós da Next4Sec somos comprometidos em cibersegurança e temos como objetivo contribuir para um futuro digital mais seguro!! Continuaremos a monitorar ativamente quaisquer IoCs associados a este incidente e trabalhar arduamente para que continuemos a proteger tanto a Next4Sec, seus clientes e parceiros, como também orientar a todos sobre as últimas ameaças cibernéticas.
Mas, e você? Deseja estar ciente sobre notícias como esta, e saber tudo sobre o mundo da cibersegurança?
Então não deixe de nos acompanhar!! Acesse nossas redes e canais digitais: Site oficial / Blog / LinkedIn / Instagram / Youtube / Spotify
