
Intrusão observada em junho de 2026 combinou acesso RDP com credenciais previamente comprometidas, enumeração agressiva de Active Directory e exfiltração de dados coletados para servidor remoto.
| Componente | Ambientes Active Directory em Windows Server ingressado no domínio, com uso das ferramentas legítimas s5cmd e do utilitário SharpShares na fase de coleta. |
| Vetor | Acesso interativo via Remote Desktop Protocol (RDP) com credenciais previamente comprometidas, seguido de staging de ferramentas na pasta C:\ProgramData\ e execução de um script PowerShell de enumeração descrito como agressivo e ruidoso. |
| Impacto | Enumeração sistemática de usuários, computadores, grupos, unidades organizacionais e trusts do domínio, seguida da coleta e da exfiltração de arquivos CSV para um servidor remoto, com geração de um relatório HTML resumindo os dados obtidos. |
| Prioridade | Rotação imediata das credenciais comprometidas, restrição e monitoração do RDP e detecção de enumeração massiva de Active Directory e escrita de artefatos em C:\ProgramData\. |
| Artefatos | Script intitulado "100% Working AD Information Gathering Script - FULLY FIXED", arquivo AD_Report.html de sumarização e diretório de staging criado em C:\ProgramData\. |
Pesquisadores de segurança relataram uma intrusão em que um ator de ameaça não identificado empregou um script PowerShell suspeito de ter sido gerado com auxílio de inteligência artificial para enumerar um ambiente Active Directory. O script localizava o Domain Controller, mapeava usuários, computadores e domínios, criava um diretório de trabalho, exportava múltiplos arquivos e, ao final, gerava um arquivo AD_Report.html para aferir o sucesso da tentativa de enumeração. O incidente foi observado no início de junho de 2026 e atribuído a análise de pesquisadores da Huntress.
A avaliação de que o payload foi produzido com apoio de um modelo de linguagem baseia-se em sinais característicos: o título do script sugerindo iteração de prompt ("100% Working AD Information Gathering Script - FULLY FIXED"), presença de strings de placeholder, código superdimensionado com múltiplos métodos para encontrar um Domain Controller e saída de console estilizada com cores como ciano, verde, vermelho e amarelo. O ponto central da análise não é uma técnica inédita, e sim a redução da barreira de entrada: atacantes menos experientes passam a produzir ferramentas capazes e evasivas com esforço mínimo.
A cadeia de ataque iniciou com o ator estabelecendo acesso via Remote Desktop Protocol a um Windows Server ingressado no domínio, utilizando um conjunto de credenciais previamente comprometidas. Em seguida, as ferramentas foram posicionadas na pasta C:\ProgramData\, um diretório frequentemente escolhido por permitir escrita e por atrair menos atenção do que perfis de usuário. O script PowerShell de enumeração foi então executado nesse host já dentro do domínio.
O script foi descrito como altamente agressivo e ruidoso, empregando um mecanismo de fallback em cascata de cinco etapas para reconhecimento e descoberta. Uma vez localizado o Domain Controller primário, ele iniciava uma rotina de coleta que reunia de forma sistemática usuários, computadores, grupos, unidades organizacionais e relações de trust do Active Directory, armazenando os resultados em um diretório de staging. Cerca de trinta minutos depois, o atacante avançou para a implantação do s5cmd, uma ferramenta legítima de operações em massa de arquivos, junto ao SharpShares, um utilitário em C# para enumeração de compartilhamentos de rede, com o objetivo de localizar repositórios de dados acessíveis a usuários.
Na etapa final, os dados coletados foram consolidados em arquivos CSV, arquivados e exfiltrados para um servidor remoto. Antes disso, o script gerou um arquivo HTML resumindo o material obtido no formato de um relatório de inventário do Active Directory. Segundo a análise, a criação desse relatório provavelmente foi uma sugestão automática do modelo de linguagem incorporada ao código, e não um recurso intencionalmente desenhado pelo operador. A metodologia subjacente permanece a de uma operação rápida de acesso, coleta e saída, agora seletivamente acelerada por automação assistida por IA, priorizando agressividade e velocidade sobre furtividade.
O alvo direto é o serviço de diretório corporativo, exposto quando um host ingressado no domínio é acessado com credenciais válidas. A enumeração toca diretamente os objetos de identidade e a topologia do Active Directory, além de compartilhamentos de rede que contenham dados acessíveis. Um segundo caso citado no contexto, relatado pela Sygnia, mostra padrão análogo em nuvem: um ambiente baseado em Amazon Web Services no qual o ator encadeou fraquezas em serviços de aplicação, recursos AWS, repositórios de código-fonte, fluxos de CI/CD, componentes de runtime e armazenamentos de dados, progredindo do acesso inicial ao comprometimento amplo em cerca de 72 horas.
- Windows Server ingressado no domínio acessível via RDP com credenciais comprometidas.
- Objetos de Active Directory: usuários, computadores, grupos, unidades organizacionais e trusts.
- Compartilhamentos de rede e repositórios de dados acessíveis a usuários, varridos pelo
SharpShares. - Diretório
C:\ProgramData\usado como área de staging de ferramentas e de dados coletados. - Ambientes de nuvem em que o acesso a uma chave é convertido rapidamente em enumeração, coleta de segredos e persistência.
A detecção deve concentrar-se na combinação de acesso remoto interativo com padrões de enumeração em rajada e escrita de artefatos em diretórios de sistema. Como o script foi descrito como ruidoso e agressivo, a telemetria de identidade e de endpoint tende a registrar picos claros de consultas ao diretório em curto intervalo, o que favorece a caça por anomalias de volume e de horário.
- Logons RDP para servidores ingressados no domínio partindo de origens ou contas incomuns, especialmente com credenciais que deveriam ter sido rotacionadas.
- Execução de PowerShell realizando consultas massivas de usuários, computadores, grupos, OUs e trusts em janela curta de tempo.
- Criação de arquivos e diretórios em
C:\ProgramData\, incluindo a geração de um relatórioAD_Report.htmle arquivos CSV de saída. - Presença ou execução das ferramentas
s5cmdeSharpSharesem hosts que normalmente não as utilizam. - Picos de leitura em compartilhamentos de rede seguidos de arquivamento e conexões de saída para destinos externos não usuais.
- Em nuvem, uso repetido de credenciais recém-obtidas para reiniciar descoberta, coleta de segredos e criação de chaves de acesso e usuários IAM.
A resposta deve tratar o caso como comprometimento de credenciais já confirmado, e não apenas como tentativa de reconhecimento. Como o acesso inicial dependeu de credenciais previamente expostas, a contenção efetiva passa por invalidar essas credenciais, reduzir a superfície de acesso remoto e elevar a visibilidade sobre consultas ao Active Directory. As ações a seguir priorizam interromper a cadeia observada e limitar a coleta e a exfiltração subsequentes.
- Rotacionar imediatamente as credenciais suspeitas de comprometimento e revisar contas com acesso a servidores ingressados no domínio.
- Restringir o RDP a origens autorizadas, exigir autenticação multifator e monitorar logons interativos em servidores.
- Isolar hosts comprometidos, coletar os artefatos deixados em
C:\ProgramData\e preservar os CSV e o relatório HTML para análise forense. - Aplicar alertas sobre enumeração massiva de Active Directory e sobre execução das ferramentas
s5cmdeSharpShares. - Revisar regras de saída de rede para bloquear e sinalizar transferências volumosas para destinos externos não aprovados.
- Em ambientes de nuvem, revogar chaves de acesso indevidas, auditar usuários IAM criados no período e revisar segredos que possam ter sido colhidos durante a intrusão.
0 Comentários