O grupo de espionagem cibernética China-nexus foi rastreado como Tufão Volt foi atribuído com confiança moderada à exploração de dia zero de uma falha de segurança de alta gravidade recentemente divulgada que afetou o Versa Director.
Os ataques tiveram como alvo quatro vítimas dos EUA e uma vítima não americana nos setores de provedores de serviços de Web (ISP), provedores de serviços gerenciados (MSP) e tecnologia da informação (TI) já em 12 de junho de 2024, disse a equipe do Black Lotus Labs na Lumen Applied sciences em um relatório técnico compartilhado com o The Hacker Information. Acredita-se que a campanha esteja em andamento contra sistemas Versa Director sem patch.
A falha de segurança em questão é CVE-2024-39717 (pontuação CVSS: 6,6), um bug de add de arquivo que afeta o Versa Director e que foi adicionado ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) na semana passada pela Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA).
“Essa vulnerabilidade permitiu que arquivos potencialmente maliciosos fossem enviados por usuários com privilégios de Provedor-Information-Middle-Admin ou Provedor-Information-Middle-System-Admin”, disse a Versa em um comunicado divulgado na segunda-feira, afirmando que os clientes afetados não implementaram as diretrizes de reforço do sistema e firewall emitidas em 2015 e 2017, respectivamente.
A falha essencialmente permite que agentes de ameaças com privilégios de administrador carreguem arquivos maliciosos camuflados como arquivos de imagem PNG aproveitando a opção “Change Favicon” na GUI do Versa Director. Ela foi corrigida nas versões 22.1.4 ou posteriores.
O direcionamento do Volt Storm à Versa Networks, uma fornecedora de serviços de acesso seguro (SASE), não é surpreendente e está alinhado com a exploração histórica do adversário de equipamentos de rede comprometidos de pequenos escritórios e escritórios domésticos (SOHO) para rotear o tráfego de rede e evitar a detecção por longos períodos de tempo.
A empresa sediada em Santa Clara conta com Adobe, Axis Financial institution, Barclays, Capital One, Colt Expertise Companies, Infosys, Orange, Samsung, T-Cell e Verizon entre seus clientes.
“Parte da atribuição (ao Volt Storm) é baseada no uso de dispositivos SOHO e na maneira como eles foram empregados”, disse Ryan English, pesquisador de segurança do Black Lotus Labs da Lumen, ao The Hacker Information.
“Mas também houve uma combinação de TTPs conhecidos e observados, incluindo infraestrutura de rede, exploração de dia zero, segmentação estratégica de setores/vítimas específicos, análise de shell da net e outras sobreposições confirmadas de atividade maliciosa.”
As cadeias de ataque são caracterizadas pela exploração da falha para entregar um shell da net personalizado chamado VersaMem (“VersaTest.png”), projetado principalmente para interceptar e coletar credenciais que permitiriam o acesso às redes de clientes downstream como um usuário autenticado, resultando em um ataque em larga escala à cadeia de suprimentos.
Outra característica notável do sofisticado shell net JAR é que ele é modular por natureza e permite que os operadores carreguem código Java adicional para execução exclusivamente na memória.
A primeira amostra do VersaMem foi carregada no VirusTotal de Cingapura em 7 de junho de 2024. Em 27 de agosto de 2024, nenhum dos mecanismos antimalware sinalizou o net shell como malicioso. Acredita-se que os agentes da ameaça podem ter testado o net shell em vítimas não americanas antes de implantá-lo em alvos americanos.
O shell da net “aproveita a instrumentação Java e o Javassist para injetar código malicioso no espaço de memória do processo do servidor net Tomcat em servidores Versa Director explorados”, explicaram os pesquisadores.
“Uma vez injetado, o código do shell da net intercepta a funcionalidade de autenticação do Versa, permitindo que o invasor intercepte passivamente credenciais em texto simples, potencialmente permitindo comprometimentos posteriores da infraestrutura do cliente por meio do uso legítimo de credenciais.”
“Além disso, o net shell intercepta a funcionalidade de filtragem de solicitações do Tomcat, permitindo que o agente da ameaça execute código Java arbitrário na memória do servidor comprometido, evitando métodos de detecção baseados em arquivo e protegendo seu net shell, seus módulos e o próprio dia zero.”
Para combater a ameaça representada pelo cluster de ataque, é aconselhável aplicar as mitigações necessárias, bloquear o acesso externo às portas 4566 e 4570, pesquisar recursivamente por arquivos de imagem PNG e verificar possível tráfego de rede originado de dispositivos SOHO para a porta 4566 nos servidores Versa Director.
O Volt Storm, também rastreado como Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda e Voltzite, é uma ameaça persistente avançada que está ativa há pelo menos cinco anos, tendo como alvo instalações de infraestrutura críticas nos EUA e em Guam com o objetivo de manter acesso furtivo e extrair dados confidenciais.
“Este é um caso que mostra como o Volt Storm continua tentando obter acesso às suas vítimas finais pacientemente e indiretamente”, disse English. “Aqui, eles miraram no sistema Versa Director como um meio de atacar uma encruzilhada estratégica de informações onde eles poderiam reunir credenciais e acesso, e então descer a cadeia até sua vítima last.”
“A evolução do Volt Storm ao longo do tempo nos mostra que, embora uma empresa possa não sentir que chamaria a atenção de um agente estatal altamente qualificado, os clientes que um produto deve atender podem ser o verdadeiro alvo, e isso nos preocupa a todos.”
