Un importante ciberataque interrumpió la red del gobierno estatal de Nevada el 24 de agosto, obligando a todas las sucursales de la oficina estatal a cerrar las operaciones durante 48 horas.
La intrusión comenzó con la explotación de una puerta de enlace VPN sin parpadeo, lo que permite al actor de amenaza obtener una posición inicial en la red interna.
En cuestión de horas, los atacantes desplegaron una carga útil de malware personalizada diseñada para intensificar privilegios, moverse lateralmente a través de servidores críticos y exfiltrar datos confidenciales.
Este evento marca una de las interrupciones más graves de los servicios de TI estatales en la historia reciente, que afectan el correo electrónico, el acceso a los registros públicos y los canales de comunicación interna.
Los analistas de la Oficina de Press del Gobernador Lombardo señalaron que el malware aprovechó un vector de ataque de varias etapas: un gotero ligero escrito en PowerShell, que a su vez obtuvo un binario de segunda etapa de un servidor web comprometido.
Este binario contenía archivos de configuración encriptados, lo que indica la intención de los atacantes de permanecer sin ser detectados mientras asignaba la topología de la red.
A medida que los técnicos estatales trabajaban para aislar puntos finales infectados, los servicios normales de autenticación de usuarios se redirigen a copias de seguridad fuera de línea, lo que complica aún más el proceso de recuperación.
El análisis forense inicial reveló que el script dropper utilizó el siguiente patrón para establecer la persistencia en el reinicio:-
$ TaskAction = new -ScheduledTaskAction -Execute ‘PowerShell.exe’ -argument ‘-noprofile -WindowStyle Hidden -File C: \ Windows \ Temp \ svc_update.ps1’ $ trigger = new -scheduledTasktriggGGGGGGRGGGRGGGRGGER -atStartUp -scheduledTtas -Concripción ‘Servicio de actualización del sistema’ Informe de incidentes (Fuente -X)
Esta técnica permitió que el malware se relanzara en silencio, incluso después de que se aplicaron parches de punto final.
Investigadores de la Oficina de Prensa del Gobernador Lombardo identificado Las similitudes de código del cuentagotas con los kits de herramientas APT conocidos, lo que sugiere que los perpetradores poseen capacidades avanzadas y datos de reconocimiento extensos sobre la infraestructura estatal.
Mecanismo de infección
En profundidad en el mecanismo de infección, el binario de la segunda etapa emplea un protocolo de comunicación personalizado sobre los HTTP, disfrazando su tráfico a medida que las API de descanso benignas llaman para evadir los sistemas de detección de intrusos.
Tras la ejecución, el binario carga una DLL en el proceso de host del Instrumento de Administración de Windows (WMI) (WMIPRVSE.exe), ocultando efectivamente sus operaciones dentro de los procesos legítimos del sistema.
La DLL descifra las cargas útiles integradas en la memoria, implementando módulos que escanean controladores de dominio y archivos acciones.
Una vez que se identifican los objetivos, los archivos cifrados de archivos críticos se organizan para la exfiltración utilizando cargas fortadas en un servidor C2 remoto.
La transición de malware de la ejecución del código inicial a la exfiltración de datos sin activar las alarmas de seguridad de la red estándar.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
