Campanha Storm-2603 usa múltiplas vulnerabilidades e técnica BYOVD para manter acesso persistente
Servidores SharePoint on-premises não corrigidos tornaram-se o alvo principal de atores de ameaças sofisticados que utilizam falhas de segurança conhecidas para invadir redes, implantar ransomware e deixar backdoors ocultos. Estas não são operações oportunistas de "quebra e roubo", mas campanhas calculadas e multiestágio projetadas para permanecer dentro da rede o máximo possível, muitas vezes sem levantar alarmes.
O grupo de ameaças por trás da onda principal de ataques, rastreado como Storm-2603, tem visado ativamente servidores SharePoint vulneráveis desde pelo menos meados de 2025. O grupo explorou vulnerabilidades divulgadas publicamente, incluindo CVE-2025-49706 e CVE-2025-49704, para ganhar um ponto de apoio inicial. Investigadores também encontraram evidências de atividade de sondagem ligada ao CVE-2025-11371, uma falha de inclusão local de arquivos não autenticada que permitiu aos atacantes acessar arquivos de sistema sensíveis e se aprofundar no ambiente da vítima.
Analistas da Equipe de Detecção e Resposta da Microsoft (DART) identificaram o escopo total desses ataques após uma investigação detalhada. Segundo relatório da Microsoft compartilhado com a Cyber Security News, o incidente revelou um nível de complexidade muito além de uma implantação padrão de ransomware, com dois atores de ameaças distintos operando dentro do mesmo ambiente exatamente ao mesmo tempo.
O que tornou este caso especialmente difícil de desvendar foi que ambos os atores estavam trabalhando em paralelo, não sequencialmente. A atividade de cada grupo estava efetivamente mascarando a do outro, tornando extremamente difícil para os defensores verem o quadro completo. Apenas correlacionando dados entre identidades, endpoints e atividade na nuvem os investigadores conseguiram finalmente montar a cadeia de ataque completa.
Detalhes técnicos da exploração e persistência
Uma vez dentro da rede, o Storm-2603 não perdeu tempo configurando uma estadia de longo prazo. O grupo implantou o Velociraptor, uma ferramenta forense legítima, executando-a com os privilégios de sistema mais altos para mapear o ambiente e coletar dados. Eles então construíram múltiplos canais de acesso remoto usando túneis Cloudflare, Zoho Assist para gerenciamento remoto e Visual Studio Code para criar conexões de comando e controle baseadas em SSH.
Para garantir que não pudessem ser facilmente removidos, os atacantes criaram novas contas de administrador local e de domínio, dando a si mesmos acesso permanente à rede. Eles também carregaram um driver vulnerável chamado NSecKrnl.sys para obter acesso profundo ao nível do kernel, permitindo que eles adulterassem a memória do sistema e desabilitassem ferramentas de proteção de endpoint.
Este método, conhecido como Bring Your Own Vulnerable Driver (BYOVD), é uma técnica favorita para desligar o software de segurança sem disparar alertas óbvios. Um segundo ator de ameaças desconhecido também estava presente, identificado através de carregamento lateral de DLL malicioso e backdoors personalizados que não correspondiam aos métodos conhecidos do Storm-2603.
Impacto e exfiltração de credenciais
Este ator exfiltrou o arquivo NTDS.dit, que armazena todas as credenciais do Active Directory, criando um arquivo chamado NTDS.zip em dois dispositivos separados. O movimento lateral foi então realizado entre dispositivos usando WinRM, um protocolo legítimo de gerenciamento remoto do Windows.
A Microsoft DART moveu-se rapidamente assim que a investigação começou, realizando reuniões diárias com o cliente afetado para compartilhar descobertas, sinalizar novos riscos e coordenar etapas de contenção. Ao combinar telemetria de várias plataformas de segurança com ferramentas investigativas dedicadas, a equipe rastreou o comportamento dos atacantes em todo o ambiente e identificou ambas as correntes de intrusão paralelas antes que mais danos pudessem se espalhar.
Recomendações para CISOs e equipes de segurança
A resposta veio com orientações claras para organizações que procuram fortalecer suas defesas. A correção de sistemas voltados para a internet, especialmente servidores SharePoint, deve ser tratada como uma prioridade imediata. Além do patching, as organizações são aconselhadas a tratar contas de alto privilégio como uma superfície de ataque primária, impor controles de identidade rigorosos e monitorar de perto atividades de login incomuns.
Implantar proteção de endpoint em todos os dispositivos, reter telemetria em um local central e auditar regularmente ferramentas de acesso remoto também são etapas essenciais. Planos de resposta a incidentes devem ser desenvolvidos e totalmente testados antes que um ataque se desenrole, não montados às pressas no meio de um.
Indicadores de Comprometimento (IoCs)
Os seguintes indicadores foram identificados e devem ser monitorados em ambientes SIEM e EDR:
- Vulnerabilidade: CVE-2025-49706 (SharePoint, acesso inicial)
- Vulnerabilidade: CVE-2025-49704 (SharePoint, acesso inicial)
- Vulnerabilidade: CVE-2025-11371 (Inclusão local de arquivos não autenticada)
- Arquivo: NSecKrnl.sys (Driver vulnerável para BYOVD)
- Arquivo: ulib.dll (DLL malicioso para sideloading)
- Arquivo: srvcli.dll (DLL malicioso não assinado)
- Arquivo: NTDS.zip (Arquivo de credenciais exfiltradas)
- Arquivo: NTDS.dit (Armazenamento de credenciais do AD)
Nota: Endereços IP e domínios estão intencionalmente defanged para prevenir resolução acidental. Re-fang apenas dentro de plataformas de inteligência de ameaças controladas como MISP, VirusTotal ou SIEM.