Trend Micro descobre novo tipo de ataque multicamada

O início do ano é o momento oportuno para fazer um balanço de como as empresas podem fortalecer sua postura de segurança e reforçar suas defesas.

A equipe por trás da solução Trend Micro Managed XDR (MDR) abordou recentemente um incidente encontrado por um dos clientes da Trend Micro.

Ele mostrou como um agente malicioso lançou um ataque furtivo em várias camadas que primeiro explorou uma vulnerabilidade de endpoint como um caminho para o movimento lateral.

Da instalação de um web shell no servidor de nuvem comprometido por meio de uma exploração do ProxyShell, o ataque persistente “progrediu para o uso de ferramentas legítimas de acesso remoto, incluindo o Remote Desktop Protocol (RDP) como seu meio final de invasão”, explicou a Trend Micro.

Primeiro foi encontrado um malware em um endpoint que o produto colocou em quarentena.

Embora as plataformas tradicionais de proteção de endpoint (EPPs) parassem nesse estágio, o MDR “levou em consideração o contexto da detecção”.

Isso significava uma alta probabilidade de o servidor ter sido comprometido por uma vulnerabilidade.

Nesse caso, a exploração provavelmente envolveu três vulnerabilidades do ProxyShell: CVE-2021-31207, CVE-2021-34473 e CVE-2021-34523. Isso levou a equipe a ativar o modo de resposta a incidentes e alertar o cliente envolvido.

O incidente demonstrou “como é crucial que as equipes de segurança adotem uma abordagem integrada para detecção, monitoramento e resposta de ameaças para lidar com ataques rapidamente, especialmente agora que os acordos de trabalho remoto se tornaram comuns para as empresas devido à pandemia de Covid-19”, refere a Trend Micro.

Incidentes como esse oferecem às equipes de segurança “oportunidades de ver os ataques de diferentes ângulos e de uma maneira geral”.

Discutindo os principais insights, as empresas podem considerar ao adotar uma abordagem proativa de segurança cibernética para garantir a máxima proteção de seus sistemas.