Agentes de ameaças desconhecidos foram observados utilizando ferramentas de código aberto como parte de uma suposta campanha de espionagem cibernética visando governos globais e organizações do setor privado.
O Insikt Group da Recorded Future está monitorando a atividade sob o apelido temporário TAG-100, observando que o adversário provavelmente comprometeu organizações em pelo menos dez países na África, Ásia, América do Norte, América do Sul e Oceania, incluindo duas organizações intergovernamentais não identificadas da Ásia-Pacífico.
Também foram destacadas desde fevereiro de 2024 entidades diplomáticas, governamentais, da cadeia de fornecimento de semicondutores, sem fins lucrativos e religiosas localizadas no Camboja, Djibuti, República Dominicana, Fiji, Indonésia, Holanda, Taiwan, Reino Unido, EUA e Vietnã.
“O TAG-100 emprega recursos de acesso remoto de código aberto e explora vários dispositivos voltados para a web para obter acesso inicial”, disse a empresa de segurança cibernética. “O grupo usou os backdoors de código aberto Go Pantegana e Spark RAT pós-exploração.”
As cadeias de ataque envolvem a exploração de falhas de segurança conhecidas que afetam vários produtos voltados para a Web, incluindo Citrix NetScaler, F5 BIG-IP, Zimbra, Microsoft Trade Server, SonicWall, Cisco Adaptive Safety Home equipment (ASA), Palo Alto Networks GlobalProtect e Fortinet FortiGate.
O grupo também foi observado conduzindo uma ampla atividade de reconhecimento voltada para aparelhos voltados para a web pertencentes a organizações em pelo menos quinze países, incluindo Cuba, França, Itália, Japão e Malásia. Isso também incluiu várias embaixadas cubanas localizadas na Bolívia, França e EUA.
“A partir de 16 de abril de 2024, o TAG-100 conduziu prováveis atividades de reconhecimento e exploração visando dispositivos Palo Alto Networks GlobalProtect de organizações, a maioria sediada nos EUA, nos setores de educação, finanças, jurídico, governo native e serviços públicos”, disse a empresa.
Diz-se que esse esforço coincidiu com o lançamento público de uma exploração de prova de conceito (PoC) para CVE-2024-3400 (pontuação CVSS: 10,0), uma vulnerabilidade crítica de execução remota de código que afeta os firewalls Palo Alto Networks GlobalProtect.
O acesso inicial bem-sucedido é seguido pela implantação do Pantegana, Spark RAT e Cobalt Strike Beacon em hosts comprometidos.
As descobertas ilustram como exploits de PoC podem ser combinados com programas de código aberto para orquestrar ataques, efetivamente reduzindo a barreira de entrada para agentes de ameaças menos sofisticados. Além disso, tal tradecraft permite que adversários compliquem esforços de atribuição e evitem a detecção.
“A segmentação generalizada de dispositivos voltados para a Web é particularmente atraente porque oferece uma posição dentro da rede visada por meio de produtos que geralmente têm visibilidade limitada, recursos de registro e suporte para soluções de segurança tradicionais, reduzindo o risco de detecção pós-exploração”, disse a Recorded Future.