O grupo Gadolinium já é conhecido dos especialistas em segurança por criar famílias de malware personalizado e que são detetáveis pelas ferramentas de proteção. Agora, a Microsoft terminou 18 aplicações em Azure usadas pelo grupo de piratas com ligações ao governo chinês e que tentavam dar forma de controlo de infraestruturas. Os hackers conseguiram ainda obter dados a partir de uma conta de OneDrive e executaram várias partes da sua campanha por aí. O Threat Intelligence Center da Microsoft explica que as 18 aplicações de Active Directory foram encerradas depois de se detetar que faziam parte de uma tentativa de ganhar controlo de várias redes.
Além da velocidade, flexibilidade e escalabilidade das soluções cloud, um número crescente de cibercriminosos tenta tirar partido também das versões em trial para desenvolver a sua atividade e fugir sem deixar rasto e da possibilidade de se usar contas com pagamento único sem terem de deixar registo de cartões de crédito. Ben Koehl e Joe Hannon, membros da equipa especializada da Microsoft nestes temas, escreveram no blogue da empresa que “porque os serviços de cloud oferecem frequentemente um trial gratuito ou contas de pagamento único (PayGo), atores maliciosos começaram a triar partido destas vantagens de negócio legítimas. Ao criarem contas gratuitas ou PayGo, podem usar tecnologia baseada na cloud para criar uma infraestrutura maliciosa que pode ser estabelecida rapidamente e depois desmontada antes de deteção”, cita o ArsTechnica.
Os piratas tiraram partido da ferramenta PowerShell para carregar módulos maliciosos usando as interfaces de programação da Microsoft. O grupo usou contas OneDrive para executar comandos e para receber os resultados dos ataques perpetrados aos sistemas das vítimas. “O atacante usa uma aplicação Azure Active Directory para configurar um endpoint de vítima com as permissões necessárias para exfiltrar dados para o seu armazenamento na Microsoft OneDrive”, detalham os especialistas.
A empresa de Redmond removeu uma conta GitHub que o Gadolinium usou em ataques semelhantes em 2018 e está a revelar publicamente as assinaturas digitais e os nomes dos perfis que tenham sido usados pelos piratas. Os utilizadores ou empresas afetadas devem usar esta informação para poder identificar as vítimas destes ataques.
A Microsoft acredita que o grupo vai evoluir as suas táticas em busca dos seus objetivos e reforça que vai continuar a construir sistemas de deteção e proteções para defender os utilizadores.
