Търсене
Close this search box.

Ръководство за работа с танкове, Zero-Day от 2017 , нова кибератака в Украйна

Неизвестен извършител се е насочил към правителствени структури в Украйна към края на 2023 г., като е използвал стар експлойт за отдалечено изпълнение на код (RCE) на Microsoft Office от 2017 г. (CVE-2017-8570) като първоначален вектор и военни превозни средства като примамка.

Акторът на заплаха е инициирал атаката, като е използвал зловреден PowerPoint файл (.PPSX), изпратен като прикачен файл чрез съобщение в платформата за сигурни съобщения Signal. Този файл, който се маскираше като стара инструкция на американската армия за миночистачни ножове за танкове, всъщност имаше отдалечена връзка с външен скрипт, хостван на домейн на руски доставчик на виртуални частни сървъри (VPS), защитен от Cloudflare.

Според публикация в блога на Deep Instinct, посветена на атаката от тази седмица, скриптът е изпълнил експлойта CVE-2017-8570 за постигане на RCE, като се е опитал да открадне информация.

Под капака на сложна кибератака

Що се отнася до техническите подробности, замаскираният скрипт се е маскирал като конфигурация на Cisco AnyConnect APN и е отговарял за задаването на устойчивост, декодирането и записването на вградения полезен товар на диска, което е ставало на няколко етапа, за да се избегне откриването.

Полезният товар включва библиотека за зареждане/пакетиране на динамични връзки (DLL) с име „vpn.sessings“, която зарежда Cobalt Strike Beacon в паметта и очаква инструкции от сървъра за командване и управление (C2) на нападателя.

Марк Вайцман, ръководител на екипа на лабораторията за заплахи в Deep Instinct, отбелязва, че инструментът за тестване за проникване Cobalt Strike се използва много често сред участниците в заплахите, но този конкретен маяк използва персонализиран зареждащ модул, който разчита на няколко техники, които забавят анализа.

„Той се актуализира непрекъснато, за да предостави на нападателите лесен начин за странично придвижване след установяване на първоначалния отпечатък“, казва той. „[И] в него са приложени няколко техники за антианализ и уникални техники за избягване на атаки“.

Вайцман отбелязва, че през 2022 г. в Cobalt Strike е открит сериозен CVE, позволяващ RCE – и много изследователи прогнозираха, че заплахите ще променят инструмента, за да създадат алтернативи с отворен код.

„Няколко кракнати версии могат да бъдат открити в подземните хакерски форуми“, казва той.

Освен с подобрената версия на Cobalt Strike, казва той, кампанията се отличава и с дължината, до която  заплахите непрекъснато се опитват да маскират своите файлове и дейност като легитимни, рутинни операции с операционни системи и общи приложения, за да останат скрити и да запазят контрола над заразените машини възможно най-дълго. В тази кампания, казва той, нападателите са стигнали по-далеч в тази стратегия на „живеене от земята“.

„Тази кампания за атаки показва няколко техники за маскиране и интелигентен начин за постоянство, който все още не е документиран“, обяснява той, без да разкрива подробности.

Група за заплахи с  неизвестна марка и модел

По време на войната с Русия Украйна е била обект на множество заплахи по различни поводи, като Sandworm Group служи като основно звено за кибератаки на агресора.

Но за разлика от повечето кампании за атаки по време на войната, екипът на лабораторията за заплахи не можа да свърже това усилие с никоя известна група за заплахи, което може да означава, че това е дело на нова група или представител на напълно обновен набор от инструменти на известен участник в заплахата.

Маюреш Дани, мениджър на отдела за изследване на сигурността в Qualys Threat Research Unit, посочва, че използването на географски различни източници, които помагат на  заплахите да разсеят атрибуцията, също така затруднява екипите по сигурността при осигуряването на целенасочена защита въз основа на географското местоположение.

„Пробата е била качена от Украйна, вторият етап е бил хостван и регистриран при руски доставчик на VPS, а кобалтовият маяк [C2] е бил регистриран във Варшава, Полша“, обяснява той.

Той казва, че това, което е намерил за най-интересно във веригата на атаката, е, че първоначалният пробив е бил осъществен чрез защитеното приложение Signal.

„Месинджърът Signal до голяма степен се използва от служители, фокусирани върху сигурността, или такива, които участват в споделянето на тайна информация, като например журналисти“, отбелязва той.

Укрепете киберзащитата си с осведоменост за сигурността и управлявайте  кръпките

Вайцман казва, че тъй като повечето кибератаки започват с фишинг или привличане на връзки чрез имейли или съобщения, по-широката кибернетична осведоменост на служителите играе важна роля за намаляване на подобни опити за атаки.

А за екипите по сигурността „Препоръчваме също така да сканират за предоставените IoC в мрежата, както и да се уверят, че Office е закърпен до последната версия“, казва Вайцман.

Кали Гюнтер, старши мениджър на отдела за изследване на киберзаплахите в Critical Start, казва, че от гледна точка на защитата разчитането на по-стари експлойти също подчертава значението на надеждните системи за управление на кръпките.

„Освен това сложността на атаката подчертава необходимостта от усъвършенствани механизми за откриване, които надхвърлят базираните на сигнатури подходи за киберзащита“, казва тя, „включващи откриване на поведение и аномалии за идентифициране на модифициран зловреден софтуер.“

 

Източник: DARKReading

Подобни публикации

18 юни 2024

Koсмосът: Последната граница за кибератаки

Неспособността да си представим – и да се подготвим за –...
18 юни 2024

Лондонските болници още не могат да се съвземат...

Няколко лондонски болници, които все още не са се справили с кибера...
17 юни 2024

Арестуваха британец от Scattered Spider

22-годишен британски гражданин, за когото се предполага, че е свърз...
17 юни 2024

Adobe с вътрешни проблеми на фона на опасения, ...

Adobe гаси пожар на два фронта заради политиката си за използване н...
17 юни 2024

Потребностите от електроенергия в центровете за...

Новото партньорство на Google с базираната в Невада компания NV Ene...
17 юни 2024

Microsoft поправи безкликова уязвимост в Outlook

Morphisec предупреждава, че една от уязвимостите, които Microsoft о...
17 юни 2024

ASUS предупреждава за проблеми при 7 рутера

ASUS пусна нова актуализация на фърмуера, която отстранява уязвимос...
16 юни 2024

CISA предупреждава за бъг в Windows, използван ...

Американската агенция за киберсигурност и инфраструктурна сигурност...
16 юни 2024

Бивш служител е осъден на 32 месеца затвор за и...

Бивш служител на National Computer Systems (NCS), отговарящ за осиг...
Бъдете социални
Още по темата
18/06/2024

Лондонските болници още не ...

Няколко лондонски болници, които все още...
12/06/2024

Нова заплаха се разпростран...

Невиждан досега зловреден софтуер за Windows,...
12/06/2024

Китай е поразил поне 20 000...

Холандската служба за военно разузнаване и...
Последно добавени
18/06/2024

Koсмосът: Последната границ...

Неспособността да си представим – и...
18/06/2024

Лондонските болници още не ...

Няколко лондонски болници, които все още...
17/06/2024

Арестуваха британец от Scat...

22-годишен британски гражданин, за когото се...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!