Неизвестен извършител се е насочил към правителствени структури в Украйна към края на 2023 г., като е използвал стар експлойт за отдалечено изпълнение на код (RCE) на Microsoft Office от 2017 г. (CVE-2017-8570) като първоначален вектор и военни превозни средства като примамка.
Акторът на заплаха е инициирал атаката, като е използвал зловреден PowerPoint файл (.PPSX), изпратен като прикачен файл чрез съобщение в платформата за сигурни съобщения Signal. Този файл, който се маскираше като стара инструкция на американската армия за миночистачни ножове за танкове, всъщност имаше отдалечена връзка с външен скрипт, хостван на домейн на руски доставчик на виртуални частни сървъри (VPS), защитен от Cloudflare.
Според публикация в блога на Deep Instinct, посветена на атаката от тази седмица, скриптът е изпълнил експлойта CVE-2017-8570 за постигане на RCE, като се е опитал да открадне информация.
Що се отнася до техническите подробности, замаскираният скрипт се е маскирал като конфигурация на Cisco AnyConnect APN и е отговарял за задаването на устойчивост, декодирането и записването на вградения полезен товар на диска, което е ставало на няколко етапа, за да се избегне откриването.
Полезният товар включва библиотека за зареждане/пакетиране на динамични връзки (DLL) с име „vpn.sessings“, която зарежда Cobalt Strike Beacon в паметта и очаква инструкции от сървъра за командване и управление (C2) на нападателя.
Марк Вайцман, ръководител на екипа на лабораторията за заплахи в Deep Instinct, отбелязва, че инструментът за тестване за проникване Cobalt Strike се използва много често сред участниците в заплахите, но този конкретен маяк използва персонализиран зареждащ модул, който разчита на няколко техники, които забавят анализа.
„Той се актуализира непрекъснато, за да предостави на нападателите лесен начин за странично придвижване след установяване на първоначалния отпечатък“, казва той. „[И] в него са приложени няколко техники за антианализ и уникални техники за избягване на атаки“.
Вайцман отбелязва, че през 2022 г. в Cobalt Strike е открит сериозен CVE, позволяващ RCE – и много изследователи прогнозираха, че заплахите ще променят инструмента, за да създадат алтернативи с отворен код.
„Няколко кракнати версии могат да бъдат открити в подземните хакерски форуми“, казва той.
Освен с подобрената версия на Cobalt Strike, казва той, кампанията се отличава и с дължината, до която заплахите непрекъснато се опитват да маскират своите файлове и дейност като легитимни, рутинни операции с операционни системи и общи приложения, за да останат скрити и да запазят контрола над заразените машини възможно най-дълго. В тази кампания, казва той, нападателите са стигнали по-далеч в тази стратегия на „живеене от земята“.
„Тази кампания за атаки показва няколко техники за маскиране и интелигентен начин за постоянство, който все още не е документиран“, обяснява той, без да разкрива подробности.
По време на войната с Русия Украйна е била обект на множество заплахи по различни поводи, като Sandworm Group служи като основно звено за кибератаки на агресора.
Но за разлика от повечето кампании за атаки по време на войната, екипът на лабораторията за заплахи не можа да свърже това усилие с никоя известна група за заплахи, което може да означава, че това е дело на нова група или представител на напълно обновен набор от инструменти на известен участник в заплахата.
Маюреш Дани, мениджър на отдела за изследване на сигурността в Qualys Threat Research Unit, посочва, че използването на географски различни източници, които помагат на заплахите да разсеят атрибуцията, също така затруднява екипите по сигурността при осигуряването на целенасочена защита въз основа на географското местоположение.
„Пробата е била качена от Украйна, вторият етап е бил хостван и регистриран при руски доставчик на VPS, а кобалтовият маяк [C2] е бил регистриран във Варшава, Полша“, обяснява той.
Той казва, че това, което е намерил за най-интересно във веригата на атаката, е, че първоначалният пробив е бил осъществен чрез защитеното приложение Signal.
„Месинджърът Signal до голяма степен се използва от служители, фокусирани върху сигурността, или такива, които участват в споделянето на тайна информация, като например журналисти“, отбелязва той.
Вайцман казва, че тъй като повечето кибератаки започват с фишинг или привличане на връзки чрез имейли или съобщения, по-широката кибернетична осведоменост на служителите играе важна роля за намаляване на подобни опити за атаки.
А за екипите по сигурността „Препоръчваме също така да сканират за предоставените IoC в мрежата, както и да се уверят, че Office е закърпен до последната версия“, казва Вайцман.
Кали Гюнтер, старши мениджър на отдела за изследване на киберзаплахите в Critical Start, казва, че от гледна точка на защитата разчитането на по-стари експлойти също подчертава значението на надеждните системи за управление на кръпките.
„Освен това сложността на атаката подчертава необходимостта от усъвършенствани механизми за откриване, които надхвърлят базираните на сигнатури подходи за киберзащита“, казва тя, „включващи откриване на поведение и аномалии за идентифициране на модифициран зловреден софтуер.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.