A atividade combinou exploração de falhas conhecidas, abuso de dispositivos de borda mal configurados, conexões persistentes a instâncias EC2 comprometidas e tentativas de reutilização de credenciais contra serviços online de organizações-alvo.
| Componente | Roteadores corporativos, infraestrutura de roteamento, concentradores VPN, gateways de acesso remoto, appliances de gerenciamento de rede, plataformas de colaboração/wiki, sistemas de gerenciamento de projetos em nuvem e instâncias EC2 executando software de appliance de rede de clientes. |
| Vetor | Exposição de interfaces administrativas em dispositivos de borda mal configurados, exploração de falhas conhecidas em WatchGuard Firebox/XTM, Atlassian Confluence e Veeam, além de tentativas de reutilização de credenciais contra serviços online das vítimas. |
| Impacto | Coleta de credenciais em escala a partir da posição do operador na borda da rede, conexões persistentes compatíveis com acesso interativo e recuperação de dados em múltiplas instâncias comprometidas, e tentativa de aprofundar presença em ambientes online das organizações-alvo. |
| Prioridade | Auditar dispositivos de borda, corrigir falhas citadas, revisar exposição de interfaces de gerenciamento, investigar ferramentas inesperadas de captura de pacotes e monitorar autenticações anômalas por localização, origem e reutilização de credenciais. |
| Versões e falhas | A atividade incluiu CVE-2022-26318 em WatchGuard Firebox/XTM entre 2021 e 2022, CVE-2021-26084 e CVE-2023-22518 em Atlassian Confluence entre 2022 e 2023, e CVE-2023-27532 em Veeam em 2024. |
| Atribuição | A campanha foi atribuída com alta confiança ao GRU, com sobreposição de infraestrutura associada a APT44, também rastreado como FROZENBARENTS, Sandworm, Seashell Blizzard e Voodoo Bear. |
| IoC | Um exemplo de sobreposição de infraestrutura citado é o endereço defangado 91.99.25[.]54, também relacionado ao agrupamento Curly COMrades. |
Uma campanha de vários anos atribuída ao serviço de inteligência militar russo GRU teve como foco organizações do setor de energia em países ocidentais, provedores de infraestrutura crítica na América do Norte e na Europa, entidades com infraestrutura de rede hospedada em nuvem e prestadores de serviços de tecnologia, telecomunicações e nuvem. A atividade foi relacionada com alta confiança a sobreposições de infraestrutura associadas a APT44, conjunto também conhecido por nomes como FROZENBARENTS, Sandworm, Seashell Blizzard e Voodoo Bear. O escopo observado indica uma operação voltada tanto contra operadores diretos quanto contra fornecedores que podem ter acesso a redes críticas.
O ponto mais relevante da campanha é a mudança de ênfase operacional ao longo do tempo. Embora a atividade tenha incluído exploração de vulnerabilidades conhecidas e falhas de dia zero em diferentes fases, o vetor com maior destaque passou a ser o abuso de dispositivos de borda de rede mal configurados, especialmente quando interfaces de gerenciamento estavam expostas. Essa adaptação reduz a dependência de exploração complexa e permite ao operador buscar resultados semelhantes, como coleta de credenciais, acesso a serviços online e tentativa de avanço dentro do ambiente da vítima.
A telemetria descrita inclui conexões persistentes de endereços controlados pelo operador para instâncias EC2 comprometidas que executavam software de appliance de rede de clientes. O padrão foi considerado compatível com acesso interativo e recuperação de dados em múltiplas instâncias afetadas. Também houve tentativas de reutilização de credenciais contra serviços online de organizações visadas; essas tentativas foram avaliadas como malsucedidas, mas sustentam a hipótese de que credenciais obtidas na borda da rede estavam sendo testadas em etapas posteriores da operação.
A cadeia observada combina três frentes: exploração de vulnerabilidades em produtos expostos, abuso de má configuração em dispositivos de borda e uso posterior de credenciais contra serviços online. Entre 2021 e 2022, a atividade envolveu exploração de CVE-2022-26318 em WatchGuard Firebox e XTM, além de busca por dispositivos de borda mal configurados. Entre 2022 e 2023, o foco incluiu falhas do Atlassian Confluence, especificamente CVE-2021-26084 e CVE-2023-22518, sem abandonar a procura por infraestrutura de borda exposta. Em 2024, a exploração de CVE-2023-27532 em Veeam apareceu junto da continuidade do mesmo padrão contra dispositivos mal configurados.
O objetivo técnico sugerido pela posição na borda da rede é interceptar ou obter informações sensíveis em trânsito, com prioridade para credenciais que possam ser reutilizadas em serviços online. Quando um operador compromete um appliance de rede, concentrador VPN, gateway remoto ou componente de roteamento, ele pode observar fluxos de autenticação, identificar usuários, mapear serviços acessados e selecionar alvos para tentativas de autenticação posteriores. O material analisado não confirma sucesso dessas tentativas de replay, mas confirma que elas ocorreram contra organizações dos setores de energia, tecnologia, nuvem e telecomunicações em várias regiões.
A campanha também mostra possível divisão operacional entre agrupamentos. A infraestrutura 91.99.25[.]54 foi citada como sobreposição com Curly COMrades, um conjunto acompanhado separadamente e alinhado a interesses russos desde o fim de 2023. A hipótese técnica apresentada é que um agrupamento possa se concentrar em acesso de rede e comprometimento inicial, enquanto outro atua em persistência no host e evasão. Essa leitura deve ser tratada como avaliação analítica, não como confirmação de uma cadeia única em todos os incidentes.
A superfície exposta é formada por ativos que normalmente ficam próximos ao perímetro lógico da organização ou funcionam como ponte entre usuários, redes internas e serviços hospedados. Isso inclui roteadores empresariais, infraestrutura de roteamento, concentradores VPN, gateways de acesso remoto e appliances de gerenciamento de rede. Em ambientes híbridos, a exposição também pode envolver instâncias EC2 que executam software de appliance de rede mantido pelo cliente, especialmente quando há conexões persistentes vindas de origens incomuns e interfaces administrativas acessíveis fora do escopo esperado.
Além da borda de rede, a atividade atingiu plataformas de colaboração e wiki, como Confluence, e sistemas de gerenciamento de projetos em nuvem. Esses serviços são relevantes porque costumam concentrar documentação técnica, procedimentos internos, integrações, referências a ambientes e, em alguns casos, material operacional que pode apoiar reconhecimento e movimentação posterior. A presença de Veeam no conjunto de falhas exploradas amplia a área de atenção para infraestrutura de backup e recuperação, ainda que o contexto não traga confirmação de impacto sobre backups ou exfiltração de repositórios.
- Organizações de energia em países ocidentais e cadeias de fornecedores com acesso a infraestrutura crítica.
- Provedores de infraestrutura crítica na América do Norte e na Europa.
- Ambientes com infraestrutura de rede hospedada em AWS, incluindo instâncias EC2 com software de appliance de rede de clientes.
- Serviços online de organizações de energia, tecnologia, nuvem e telecomunicações na América do Norte, Europa Ocidental, Europa Oriental e Oriente Médio.
A investigação defensiva deve começar pela borda da rede, porque a campanha depende fortemente de visibilidade e acesso próximos aos fluxos de autenticação. Em appliances e gateways, a prioridade é procurar alterações de configuração, contas administrativas inesperadas, conexões persistentes de origem incomum, processos não reconhecidos e utilitários de captura de pacotes que não façam parte da operação normal. A presença desses artefatos em equipamentos que roteiam tráfego sensível deve ser tratada como sinal de risco elevado, mesmo quando não houver evidência imediata de exploração bem-sucedida de uma CVE específica.
Em nuvem, a telemetria deve correlacionar logs de rede de instâncias EC2, registros de autenticação, alterações em grupos de segurança, fluxos persistentes de saída e eventos de administração do appliance instalado pelo cliente. O comportamento de interesse inclui conexões longas ou recorrentes entre endereços externos controlados por terceiros e instâncias que executam funções de roteamento, VPN, inspeção, gerenciamento ou acesso remoto. Em identidade, a caça deve focar autenticações rejeitadas ou incomuns que indiquem tentativa de replay de credenciais, principalmente quando partem de regiões inesperadas ou aparecem logo após atividade anômala em dispositivos de borda.
- Conexões persistentes para instâncias EC2 que executam software de appliance de rede de clientes.
- Tentativas de autenticação contra serviços online a partir de localizações geográficas inesperadas.
- Ferramentas de captura de pacotes ou processos de inspeção de tráfego não aprovados em roteadores, VPNs, gateways e appliances.
- Acesso administrativo a interfaces de gerenciamento expostas fora dos endereços, contas ou janelas operacionais esperadas.
- Eventos associados a
CVE-2022-26318,CVE-2021-26084,CVE-2023-22518eCVE-2023-27532em ativos historicamente expostos.
A resposta deve priorizar inventário e redução de exposição. Dispositivos de borda precisam ser revisados quanto a interfaces administrativas publicamente acessíveis, autenticação fraca, firmware desatualizado, contas não documentadas e regras que permitam gerenciamento a partir de redes amplas. Quando houver WatchGuard Firebox/XTM, Atlassian Confluence ou Veeam no ambiente, as equipes devem validar a aplicação das correções relacionadas às CVEs citadas, revisar logs históricos e confirmar se os sistemas não ficaram expostos durante as janelas em que as falhas eram exploráveis.
A contenção deve incluir troca e invalidação de credenciais potencialmente observadas em tráfego de borda, com atenção para contas usadas em VPN, administração de rede, serviços de colaboração, nuvem e gerenciamento de projetos. A simples correção do appliance pode não ser suficiente se credenciais já tiverem sido capturadas. Por isso, é necessário combinar rotação, fortalecimento de autenticação, revisão de sessões ativas e monitoramento de replay. Autenticação forte deve ser exigida nos serviços online relevantes, mas também deve ser acompanhada por detecção de tentativas repetidas, origem geográfica incompatível e uso anormal de contas privilegiadas.
Após a mitigação inicial, a validação deve confirmar que não existem conexões persistentes remanescentes, utilitários de captura de pacotes inesperados ou alterações de configuração capazes de reabrir o caminho de acesso. Em ambientes AWS, proprietários de workloads devem revisar instâncias que executam appliances de rede, grupos de segurança, logs de fluxo, trilhas de auditoria e padrões de acesso administrativo. A campanha mostra que a má configuração de borda pode substituir exploração sofisticada; portanto, governança contínua de exposição deve ser tratada como controle central, não como tarefa pontual de endurecimento.
- Restringir interfaces de gerenciamento de roteadores, VPNs, gateways e appliances a redes administrativas autorizadas.
- Aplicar correções para as CVEs citadas quando os produtos afetados existirem no ambiente e revisar logs do período anterior à correção.
- Procurar e remover utilitários de captura de pacotes, processos desconhecidos e configurações administrativas não autorizadas em dispositivos de borda.
- Rotacionar credenciais que possam ter transitado por infraestrutura comprometida e revisar sessões ativas em serviços online.
- Monitorar replay de credenciais por origem, frequência, geolocalização, serviço acessado e relação temporal com eventos de borda.
0 Comentários