Un actor de amenaza que obtuvo acceso inicial a través de un dispositivo VPN de Sonicwall pudo aumentar su ataque al encontrar códigos de recuperación de Huntress guardados en un archivo de texto sin formato en el escritorio de un usuario.
Esto permitió al atacante iniciar sesión en el portal de seguridad del cliente, donde intentaron remediar los informes de incidentes y desinstalar a los agentes de seguridad para cubrir sus pistas.
Este incidente es una rama de una campaña más amplia dirigida a SonicWall VPN, lo que condujo al rápido despliegue de ransomware Akira en múltiples entornos de víctimas.
Este caso particular destaca el riesgo significativo de almacenar credenciales confidenciales en formatos de fácil acceso.
El Centro de Operaciones de Seguridad de Huntress (SOC) en la región de APAC detectó actividades sospechosas por primera vez cuando múltiples usuarios administrativos comenzaron a ejecutar comandos para eliminar copias en la sombra en varios anfitriones dentro de una organización. En respuesta, los analistas iniciaron un aislamiento masivo de sistemas para contener la amenaza.
La investigación reveló que el binario de ransomware Akira, W.Exe, había sido ejecutado desde el escritorio de un usuario, lo que llevó al cifrado de esa estación de trabajo.
Cadena de ataque
Sin embargo, la contención rápida evitó que el ransomware se extendiera por todo el entorno.
El analista de SOC Michael confirmó a través del análisis de registro de eventos que se accedió a las cuentas de usuario comprometidas desde las direcciones IP internas en el rango 192.168.xx.
Es probable que estos IP se asignaron a través de DHCP a los sistemas controlados por los actores de amenaza de Akira después de que comprometieron la VPN SonicWall de la organización.
Esta técnica permite a los atacantes mezclar con el tráfico de red legítimo, sin pasar por alto las soluciones de detección y respuesta de punto final (EDR), ya que los sistemas deshonestos no tienen agentes de seguridad instalados y su actividad parece originarse en una fuente interna confiable.
El Soc Huntress emitió un informe de incidente formal que identifica la VPN de SonicWall como el probable punto de entrada y justificando la respuesta de aislamiento masivo.
Luego, el equipo colaboró con el equipo de caza y respuesta de amenazas para un análisis más profundo para proporcionar al socio inteligencia integral sobre la amenaza activa.
Exportación y abuso de certificados
Durante la investigación del controlador de dominio (DC), los analistas observaron los comandos de ejecución del usuario comprometidos para enumerar y exportar certificados desde el almacén de certificados locales.
El atacante usó específicamente certutil -store my to enumerar certificados en la tienda personal, que podría contener claves confidenciales para autenticación, cifrado o firma.
Posteriormente, el atacante exportó un certificado en formato PFX, que incluye las claves públicas y privadas.
Comprometer dicho certificado, si se usa para la autenticación de usuario o dispositivo, podría permitir que un atacante se haga pasar por usuarios o máquinas legítimas, facilitando el robo de credenciales y el movimiento lateral.
Si bien esta actividad es un fuerte indicador de preparaciones para el acceso persistente, la causa raíz de esta acción específica no podría determinarse durante el incidente.
Mientras enumeraba las acciones administrativas del DC, el actor de amenaza descubrió y accedió a un archivo de texto sin formato en el escritorio de un ingeniero de seguridad interno llamado Huntress_RECovery_Codes-.Txt.
Código de cazadora expuesto
Estos códigos sirven como copia de seguridad para evitar la autenticación multifactor (MFA). Su compromiso otorga efectivamente a un atacante acceso completo a la consola de Huntress, lo que les permite alterar las capacidades de detección y respuesta.
Analistas de cazadores observó La cuenta de un ingeniero de seguridad comenzó a resolver informes de incidentes activos dentro del portal de Huntress, que fue anómalos dado el incidente en curso.
El equipo de SOC rápidamente intensificó sus preocupaciones, y el socio confirmó que la actividad no fue realizada por su personal.
Una revisión de la actividad portal reveló que una dirección IP maliciosa conocida, 104.238.221 (.) 69, previamente asociada con otros compromisos de Sonicwall, había accedido al portal utilizando los códigos de recuperación robados.
Luego, el atacante cerró manualmente los informes de incidentes e inició la desinstalación de los agentes de los cazadores de sistemas comprometidos para suprimir la visibilidad y obstaculizar la respuesta.
Esta secuencia de eventos destaca cómo los códigos de recuperación almacenados incorrectamente pueden convertirse en un solo punto de falla, lo que permite que un atacante pase por alto el MFA y obtenga acceso privilegiado.
En este caso, el atacante pudo hacerse pasar por un usuario de confianza, acceder al portal de seguridad, suprimir alertas e intentar eliminar la protección del punto final.
Los peligros de las credenciales almacenados en Textext
El almacenamiento de credenciales y códigos de recuperación en texto sin formato plantea un riesgo de seguridad significativo. Una vez obtenidos, se pueden utilizar para comprometer a los hosts y acceder a aplicaciones críticas de terceros y plataformas de seguridad.
Este acceso puede ser armado para deshabilitar las defensas y ejecutar nuevas acciones maliciosas.
Las organizaciones deben tratar los códigos de recuperación con el mismo nivel de seguridad que las contraseñas de cuentas privilegiadas. Las prácticas recomendadas incluyen:
Evite el almacenamiento de texto sin formato: no guarde los códigos de recuperación en archivos de texto sin protección o en unidades compartidas. Use un administrador de contraseñas: almacene códigos y credenciales en un administrador de contraseñas cifrado con una contraseña maestra sólida. COCRYPT ALMACENAMIENTO OFFLINE: si usa el almacenamiento fuera de línea, asegúrese de que el archivo esté encriptado y protegido con contraseña en una unidad encriptada. Gire y monitoree: regenere periódicamente los códigos de recuperación y monitoree la actividad inusual de inicio de sesión.
Indicadores de compromiso
ItemDescriptionW.ExeranSomware EjecutableShaSha256: 6f1192ea8D20D8E94F2B140440BDFC74D95987BE7B3AE2098C692FDEA42C4A69RANSOMware Ejecutable Ejecutable104.238.221 (.) 69AttArter IP que accesorios de HuntressMware.
¡Webinar gratuito en vivo en nuevas tácticas de malware de nuestros analistas! Aprenda técnicas de detección avanzada -> Regístrese gratis
