Търсене
Close this search box.

Държавни хакери атакуват правителства от Близкия изток и Африка

Правителствените структури в Близкия изток и Африка са обект на продължителни кибершпионски атаки, при които се използват невиждани досега и редки техники за кражба на пълномощия и ексфилтриране на електронна поща от Exchange.

„Основната цел на атаките е била да се получи изключително поверителна и чувствителна информация, конкретно свързана с политици, военни дейности и министерства на външните работи“, заяви Лиор Рохбергер, старши изследовател на заплахи в Palo Alto Networks, в техническо задълбочено проучване, публикувано миналата седмица.

Екипът за изследване на заплахи Cortex на компанията проследява дейността под временното име CL-STA-0043 (където CL означава клъстер, а STA – държавно подкрепена мотивация), описвайки я като „истинска усъвършенствана постоянна заплаха“.

Веригата от инфекции се задейства чрез използването на уязвими локални услуги Internet Information Services (IIS) и Microsoft Exchange, които служат за проникване в целевите мрежи.

Palo Alto Networks заяви, че е открила неуспешни опити за изпълнение на уеб обвивката China Chopper в една от атаките, което е накарало противника да смени тактиката и да използва имплант на Visual Basic Script в паметта от сървъра Exchange.

Успешният пробив е последван от разузнавателна дейност, за да се картографира мрежата и да се изберат критични сървъри, които съхраняват ценни данни, включително контролери на домейни, уеб сървъри, Exchange сървъри, FTP сървъри и SQL бази данни.

Наблюдава се също така, че CL-STA-0043 използва собствени инструменти на Windows за повишаване на привилегиите, което му позволява да създава администраторски акаунти и да стартира други програми с повишени привилегии.

Друг метод за повишаване на привилегиите е свързан със злоупотреба с функции за достъпност в Windows – т.е. помощната програма „лепкави ключове“ (sethc.exe) – която дава възможност за заобикаляне на изискванията за влизане в системата и за заобикаляне на системите.

„При атаката нападателят обикновено заменя двоичния файл sethc.exe или указателите/препратките към тези двоични файлове в регистъра, с cmd.exe“, обяснява Рохбергер. „Когато се изпълни, той предоставя на атакуващия повишена обвивка с команден ред, за да изпълнява произволни команди и други инструменти.“

Подобен подход, при който се използва Utility Manager (utilman.exe) за установяване на постоянен backdoor достъп до средата на жертвата, беше документиран от CrowdStrike по-рано този април.

Освен че използва Mimikatz за кражба на пълномощия, начинът на действие на заплахата се отличава с използването на други нови методи за кражба на пароли, странично движение и екфилтриране на чувствителни данни, като например.

  • Използване на мрежови доставчици за изпълнение на злонамерен DLL за събиране и експортиране на пароли в обикновен текст към отдалечен сървър
  • Използване на набор от инструменти за тестване на проникването с отворен код, наречен Yasso, за разпространение в мрежата, и
  • Използване на предимствата на Exchange Management Shell и PowerShell модулите за събиране на интересни имейли.

Струва си да се отбележи, че използването на приставките Exchange PowerShell за експортиране на данни за пощенски кутии е докладвано по-рано в случая с китайската държавно спонсорирана група, наречена Silk Typhoon (преди това Hafnium), за която за първи път стана известно през март 2021 г. във връзка с експлоатацията на Microsoft Exchange Server.

„Равнището на сложност, адаптивност и виктимология на тази група за дейност предполагат, че става въпрос за високоспособен APT , и се предполага, че става въпрос за  държавно спонсорирана групировка“, каза Рохбергер.

 

 

Източник: The Hacker News

Подобни публикации

25 юли 2024

Съвети как да поддържате киберсигурността на би...

Ръководството на цифровото поведение на служителите е от ключово зн...
24 юли 2024

ACLU се бори за конституционното ви право да пр...

Събуждате се в деня на изборите и отключвате телефона си, за да вид...
24 юли 2024

CrowdStrike обяснява защо лошата актуализация н...

Днес CrowdStrike сподели информация от предварителния си преглед сл...
24 юли 2024

57 000 пациенти, засегнати от нарушение на сигу...

Michigan Medicine (Мичиган Медисин) , академичният медицински центъ...
24 юли 2024

Китайските хакери разполагат с нова версия на M...

Китайската хакерска група, проследена като „Evasive PandaR...
24 юли 2024

Юлските актуализации за сигурност на Windows из...

Microsoft предупреди, че след инсталирането на актуализациите за си...

NIS 2: Въвеждане на по-строго управление на киб...

Новата директива на ЕС NIS 2 вдига летвата за киберсигурност, особе...
Бъдете социални
Още по темата
15/07/2024

Банките в Сингапур ще према...

Паричният орган на Сингапур (MAS) обяви...
13/07/2024

Критичен бъг в Exim заобика...

Censys предупреждава, че над 1,5 милиона...
08/07/2024

Измамниците на Euro Vishing...

Европол съобщи за ареста на 54...
Последно добавени
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
24/07/2024

ACLU се бори за конституцио...

Събуждате се в деня на изборите...
24/07/2024

CrowdStrike обяснява защо л...

Днес CrowdStrike сподели информация от предварителния...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!