A Microsoft vincula os ataques a um grupo de hackers iraniano conhecido como Mercury ou MuddyWater.

A Microsoft disse na segunda-feira que hackers patrocinados pelo Estado iraniano estão explorando a vulnerabilidade do Zerologon em campanhas de hackers no mundo real.

Ataques bem-sucedidos permitiriam aos hackers assumir o controle de servidores conhecidos como controladores de domínio (DC), que são as peças centrais da maioria das redes corporativas, e permitir que invasores obtenham controle total sobre seus alvos.

Os ataques iranianos foram detectados pelo Centro de Inteligência de Ameaças da Microsoft (MSTIC) e estão ocorrendo há pelo menos duas semanas, disse a empresa em um breve tweet.

 O MSTIC vinculou os ataques a um grupo de hackers iranianos que a empresa rastreia como MERCURY , mas que são mais amplamente conhecidos pelo apelido de MuddyWatter .

Acredita-se que o grupo seja um contratado do governo iraniano que trabalha sob as ordens do Corpo da Guarda Revolucionária Islâmica, principal serviço de inteligência e militar iraniano.

De acordo com o Digital Defense Report da Microsoft , esse grupo historicamente tem como alvo ONGs, organizações intergovernamentais, ajuda humanitária do governo e organizações de direitos humanos.

No entanto, a Microsoft diz que os alvos mais recentes da Mercury incluíam "um grande número de alvos envolvidos no trabalho com refugiados" e "provedores de tecnologia de rede no Oriente Médio".

OS ATAQUES COMEÇARAM APÓS O ZEROLOGON POC PÚBLICO

Zerologon foi descrito por muitos como o bug mais perigoso divulgado este ano. O bug é uma vulnerabilidade no Netlogon, o protocolo usado pelos sistemas Windows para autenticação em um Windows Server executado como controlador de domínio.

Explorar o bug Zerologon pode permitir que hackers assumam um controlador de domínio sem patch e, inerentemente, a rede interna de uma empresa.

Os ataques geralmente precisam ser executados a partir de redes internas, mas se o controlador de domínio for exposto online, eles também podem ser executados remotamente pela Internet.

A Microsoft lançou patches para o Zerologon ( CVE-2020-1472 ) em agosto, mas o primeiro artigo detalhado sobre esse bug foi publicado em setembro, atrasando a maioria dos ataques.

Mas enquanto os pesquisadores de segurança atrasaram a publicação de detalhes para dar aos administradores de sistema mais tempo para corrigir, o código de prova de conceito como arma para Zerologon foi publicado quase no mesmo dia que o artigo detalhado, gerando uma onda de ataques em poucos dias.

Após a divulgação do bug, o DHS deu às agências federais três dias para corrigir os controladores de domínio ou desconectá-los das redes federais a fim de evitar ataques, que a agência esperava acontecer - e eles fizeram, dias depois.

Os ataques do MERCURY parecem ter começado cerca de uma semana após a publicação desse código de prova de conceito e, ao mesmo tempo, a Microsoft começou a detectar as primeiras tentativas de exploração do Zerologon.

Fonte: ZDNet