.
Os invasores estão usando o Splinter, uma nova ferramenta de pós-exploração, para causar estragos nos ambientes de TI das vítimas após a infiltração inicial, utilizando recursos como executar comandos do Windows, roubar arquivos, coletar informações de contas de serviços de nuvem e baixar malware adicional nos sistemas das vítimas.
Em seguida, o código malicioso se autodeleta, de acordo com os caçadores de ameaças da Unidade 42 da Palo Alto Networks, que identificaram a nova ferramenta de teste de penetração escondida nos sistemas de vários de seus clientes.
“Embora o Splinter não seja tão avançado quanto outras ferramentas de pós-exploração conhecidas, como o Cobalt Strike, ele ainda representa uma ameaça potencial às organizações se for mal utilizado”, disse o analista da Unit 42, Dominik Reichel, este mês.
Diferentemente do Splinter, o Cobalt Strike é uma ferramenta legítima de red-teaming. Cópias crackeadas, no entanto, são frequentemente usadas para propósitos ilícitos e são as favoritas entre operadores de ransomware e ciberespiões.
O código recém-descoberto é um bom lembrete de que os invasores são furtivos e continuam investindo em ferramentas destinadas a permanecerem indetectáveis nas redes das vítimas.
A Unidade 42 ainda precisa identificar quem desenvolveu o Splinter. A equipe descobriu o nome do projeto interno da ferramenta em um artefato de depuração.
Esse malware é escrito em Rust, e suas amostras são “excepcionalmente” grandes, mesmo para Rust, com uma amostra típica chegando a cerca de 7 MB. Isso, nos disseram, é principalmente devido ao grande número de bibliotecas externas que o arquivo usa.
O Splinter também usa um formato JSON para seus dados de configuração que contém o ID do implante e o ID do endpoint de destino, juntamente com os detalhes do servidor de comando e controle (C2).
“Após a execução, o exemplo analisa os dados de configuração e usa as informações de rede para se conectar ao servidor C2 usando HTTPS com as credenciais de login”, observou Reichel.
O software malicioso então começa a se comunicar com o servidor C2 e a executar quaisquer tarefas que o invasor solicitar, o que pode incluir: executar comandos do Windows, executar um módulo por meio de injeção de processo remoto, enviar um arquivo do sistema da vítima para o servidor do invasor, baixar arquivos maliciosos para a máquina da vítima, coletar informações de contas de serviços de nuvem e se autodestruir.
A Unidade 42 também lista um hash de amostra, junto com caminhos de URL que o servidor C2 do invasor usa para se comunicar com o implante, executar tarefas e baixar ou carregar arquivos. É uma boa ideia verificar isso para garantir que não haja código indesejado em seus sistemas.
E como Reichel aponta, também é um bom lembrete de que Cobalt Strike não é a única ferramenta de equipe vermelha com a qual se preocupar. ®
.
