A Microsoft, através de sua equipe de Resposta a Incidentes e Análise Avançada (DART), desvendou um cenário cibernético surpreendente: duas gangues de hackers distintas operavam simultaneamente dentro da rede de uma organização comprometida. A descoberta ocorreu durante uma investigação de ataque de ransomware, onde os analistas inicialmente acreditavam estar lidando com uma única e complexa operação. No entanto, a análise aprofundada dos logs de eventos de estações de trabalho, servidores locais, recursos na nuvem e contas de usuário revelou a presença de dois atores de ameaças independentes, cada um empregando suas próprias ferramentas e táticas.
A primeira gangue, associada ao grupo Storm-2603, já conhecida pela Microsoft por ataques a servidores SharePoint locais e implantação de ransomware, focou em estabelecer persistência e reconhecimento na infraestrutura. Eles exploraram vulnerabilidades conhecidas e buscaram atualizações não aplicadas no SharePoint, além de realizar reconhecimento adicional através de requisições a arquivos como win.ini e web.config, indicando uma tentativa de explorar vulnerabilidades de inclusão local de arquivos. Para aprofundar seu controle, Storm-2603 utilizou o Velociraptor, uma ferramenta legítima de forense e resposta a incidentes, elevando-a a privilégios SYSTEM para coletar informações detalhadas sobre o ambiente. O uso de ferramentas legítimas como o Velociraptor, Cloudflare tunnels, Zoho Assist e conexões SSH via Visual Studio Code, embora úteis para administradores, serviu como um disfarce eficaz para os atacantes manterem acesso remoto e contornarem algumas restrições de segurança. Eles também criaram novas contas de administrador locais e de domínio e utilizaram um driver vulnerável para enfraquecer os mecanismos de defesa.
Paralelamente, uma segunda entidade desconhecida operava na mesma rede, empregando técnicas como DLL hijacking e backdoors customizados, sem qualquer indício de colaboração com Storm-2603. A sobreposição das atividades de ambos os grupos dificultou significativamente a atribuição de ações e a remediação. Os backdoors da segunda gangue poderiam ser confundidos com etapas adicionais da operação de Storm-2603, enquanto as ferramentas legítimas usadas pelo primeiro grupo poderiam ser interpretadas como atividades administrativas normais. A equipe da Microsoft DART teve que isolar dispositivos comprometidos, verificar contas suspeitas, bloquear canais de acesso remoto e rastrear os movimentos de ambos os grupos simultaneamente. A colaboração com a Microsoft Threat Intelligence foi crucial para distinguir as atividades de Storm-2603 das ações da outra gangue. As recomendações da Microsoft incluem a aplicação imediata de atualizações em sistemas expostos à internet, especialmente servidores SharePoint locais, monitoramento rigoroso de contas privilegiadas, ferramentas de acesso remoto e programas administrativos, além da implementação de coleta centralizada de logs de todas as fontes para obter uma visibilidade completa e detectar atividades anômalas, como a presença de múltiplos atores de ameaças operando independentemente na mesma rede.
