Pesquisadores de segurança cibernética sinalizaram a descoberta de uma nova ferramenta de equipe vermelha pós-exploração chamada Lasca na natureza.
A Unidade 42 da Palo Alto Networks compartilhou suas descobertas após descobrir o programa nos sistemas de vários clientes.
“Ele tem um conjunto padrão de recursos comumente encontrados em ferramentas de teste de penetração e seu desenvolvedor o criou usando a linguagem de programação Rust”, disse Dominik Reichel, da Unit 42. “Embora o Splinter não seja tão avançado quanto outras ferramentas de pós-exploração bem conhecidas, como o Cobalt Strike, ele ainda representa uma ameaça potencial para as organizações se for mal utilizado.”
Ferramentas de teste de penetração são frequentemente usadas para operações de purple group para sinalizar potenciais problemas de segurança na rede de uma empresa. No entanto, essas ferramentas de simulação de adversários também podem ser transformadas em armas por agentes de ameaças para sua vantagem.
A Unit 42 disse que não detectou nenhuma atividade de agente de ameaça associada ao conjunto de ferramentas Splinter. Ainda não há informações sobre quem desenvolveu a ferramenta.
Artefatos descobertos pela empresa de segurança cibernética revelam que eles são “excepcionalmente grandes”, com cerca de 7 MB, principalmente devido à presença de 61 caixas Rust dentro deles.
O Splinter não é diferente de outras estruturas de pós-exploração, pois vem com uma configuração que inclui informações sobre o servidor de comando e controle (C2), que é analisado para estabelecer contato com o servidor usando HTTPS.
“Os implantes Splinter são controlados por um modelo baseado em tarefas, o que é comum entre frameworks de pós-exploração”, observou Reichel. “Ele obtém suas tarefas do servidor C2 que o invasor definiu.”
Algumas das funções da ferramenta incluem executar comandos do Home windows, executar módulos por meio de injeção de processo remoto, carregar e baixar arquivos, coletar informações de contas de serviços de nuvem e se excluir do sistema.
“A crescente variedade ressalta a importância de se manter atualizado sobre os recursos de prevenção e detecção, já que os criminosos tendem a adotar quaisquer técnicas que sejam eficazes para comprometer organizações”, disse Reichel.
A divulgação ocorre no momento em que a Deep Intuition detalha dois métodos de ataque que podem ser explorados por agentes de ameaças para obter injeção furtiva de código e escalonamento de privilégios, aproveitando uma interface RPC no Microsoft Workplace e um shim malicioso, respectivamente.
“Aplicamos um shim malicioso em um processo sem registrar um arquivo SDB no sistema”, disseram os pesquisadores Ron Ben-Yizhak e David Shandalov. “Nós efetivamente ignoramos a detecção de EDR escrevendo em um processo filho e carregando a DLL de destino do processo filho suspenso antes que qualquer hook de EDR possa ser estabelecido.”
Em julho de 2024, a Verify Level também lançou luz sobre uma nova técnica de injeção de processo chamada Thread Identify-Calling, que permite implantar um shellcode em um processo em execução, abusando da API para descrições de thread, ignorando produtos de proteção de endpoint.
“À medida que novas APIs são adicionadas ao Home windows, novas ideias para técnicas de injeção estão surgindo”, disse a pesquisadora de segurança Aleksandra “Hasherezade” Doniec.
“Thread Identify-Calling usa algumas das APIs relativamente novas. No entanto, não pode evitar incorporar componentes mais antigos e conhecidos, como injeções de APC – APIs que devem sempre ser levadas em consideração como uma ameaça potencial. Da mesma forma, a manipulação de direitos de acesso dentro de um processo remoto é uma atividade suspeita.”
