- Campanha direcionada na Malásia atingiu várias entidades governamentais e, ao menos, uma empresa privada, usando um endpoint de armazenamento hospedado na Cloudflare para exfiltrar dados.
- O grupo, considerado organizado, utilizou ferramentas próprias e scripts sob medida para cada ambiente invadido.
- A exfiltração ocorreu por meio de um endpoint de armazenamento controlado pelos invasores, hospedado na infraestrutura da Cloudflare, para disfarçar o tráfego.
- O ataque resultou no roubo de credenciais de controladores de domínio, incluindo SAM, SECURITY e SYSTEM, além de um dump NTDS com hashes do Active Directory; webshells foram encontrados em ao menos um servidor governamental.
- A infraestrutura de apoio estava em uma máquina virtual da Microsoft Azure (região Malaysia West), com artefatos que ajudam a reproduzir parte da cadeia de ataque.
Uma campanha cibercriminosa direcionada a organizações da Malásia utilizou um endpoint de armazenamento hospedado pela Cloudflare para exfiltrar arquivos de redes comprometidas, sem acionar alertas de ferramentas tradicionais de monitoramento.
O grupo envolvido atuou de forma coordenada, com ferramentas próprias e scripts customizados para cada ambiente invadido, sugerindo autoria organizada e planejamento prévio. A exfiltração ocorreu via um serviço confiável, dificultando a detecção.
Os alvos incluem várias entidades governamentais malaias e, ao menos, uma empresa do setor privado. A técnica empregada usa serviços de nuvem legítimos para disfarçar a comunicação externa e evitar bloqueios simples.
Forma de operação
Os invasores não enviaram dados direto a destinos desconhecidos. Em vez disso, encaminhavam arquivos roubados para um endpoint de armazenamento sob controle deles e hospedado na infraestrutura da Cloudflare, reduzindo a visibilidade do tráfego.
Essa abordagem diminui a chance de sinalização quando tráfegos para provedores de nuvem são vistos como atividade comum, especialmente em ambientes que não inspecionam saídas para domínios confiáveis.
Impactos observados
Foram comprometidas credenciais de controladores de domínio, incluindo as hives SAM, SECURITY e SYSTEM, bem como um dump NTDS com hashes do Active Directory. Webshells ativos foram encontrados em pelo menos um servidor governamental.
A infraestrutura de apoio estava hospedada em uma máquina virtual da Microsoft Azure, na região Malaysia West. O conjunto de artefatos deixados pelos invasores permite reconstruir parte da cadeia de intrusão utilizada contra as vítimas.
Entre na conversa da comunidade