Търсене
Close this search box.

Неизвестен извършител се е насочил към правителствени структури в Украйна към края на 2023 г., като е използвал стар експлойт за отдалечено изпълнение на код (RCE) на Microsoft Office от 2017 г. (CVE-2017-8570) като първоначален вектор и военни превозни средства като примамка.

Акторът на заплаха е инициирал атаката, като е използвал зловреден PowerPoint файл (.PPSX), изпратен като прикачен файл чрез съобщение в платформата за сигурни съобщения Signal. Този файл, който се маскираше като стара инструкция на американската армия за миночистачни ножове за танкове, всъщност имаше отдалечена връзка с външен скрипт, хостван на домейн на руски доставчик на виртуални частни сървъри (VPS), защитен от Cloudflare.

Според публикация в блога на Deep Instinct, посветена на атаката от тази седмица, скриптът е изпълнил експлойта CVE-2017-8570 за постигане на RCE, като се е опитал да открадне информация.

Под капака на сложна кибератака

Що се отнася до техническите подробности, замаскираният скрипт се е маскирал като конфигурация на Cisco AnyConnect APN и е отговарял за задаването на устойчивост, декодирането и записването на вградения полезен товар на диска, което е ставало на няколко етапа, за да се избегне откриването.

Полезният товар включва библиотека за зареждане/пакетиране на динамични връзки (DLL) с име „vpn.sessings“, която зарежда Cobalt Strike Beacon в паметта и очаква инструкции от сървъра за командване и управление (C2) на нападателя.

Марк Вайцман, ръководител на екипа на лабораторията за заплахи в Deep Instinct, отбелязва, че инструментът за тестване за проникване Cobalt Strike се използва много често сред участниците в заплахите, но този конкретен маяк използва персонализиран зареждащ модул, който разчита на няколко техники, които забавят анализа.

„Той се актуализира непрекъснато, за да предостави на нападателите лесен начин за странично придвижване след установяване на първоначалния отпечатък“, казва той. „[И] в него са приложени няколко техники за антианализ и уникални техники за избягване на атаки“.

Вайцман отбелязва, че през 2022 г. в Cobalt Strike е открит сериозен CVE, позволяващ RCE – и много изследователи прогнозираха, че заплахите ще променят инструмента, за да създадат алтернативи с отворен код.

„Няколко кракнати версии могат да бъдат открити в подземните хакерски форуми“, казва той.

Освен с подобрената версия на Cobalt Strike, казва той, кампанията се отличава и с дължината, до която  заплахите непрекъснато се опитват да маскират своите файлове и дейност като легитимни, рутинни операции с операционни системи и общи приложения, за да останат скрити и да запазят контрола над заразените машини възможно най-дълго. В тази кампания, казва той, нападателите са стигнали по-далеч в тази стратегия на „живеене от земята“.

„Тази кампания за атаки показва няколко техники за маскиране и интелигентен начин за постоянство, който все още не е документиран“, обяснява той, без да разкрива подробности.

Група за заплахи с  неизвестна марка и модел

По време на войната с Русия Украйна е била обект на множество заплахи по различни поводи, като Sandworm Group служи като основно звено за кибератаки на агресора.

Но за разлика от повечето кампании за атаки по време на войната, екипът на лабораторията за заплахи не можа да свърже това усилие с никоя известна група за заплахи, което може да означава, че това е дело на нова група или представител на напълно обновен набор от инструменти на известен участник в заплахата.

Маюреш Дани, мениджър на отдела за изследване на сигурността в Qualys Threat Research Unit, посочва, че използването на географски различни източници, които помагат на  заплахите да разсеят атрибуцията, също така затруднява екипите по сигурността при осигуряването на целенасочена защита въз основа на географското местоположение.

„Пробата е била качена от Украйна, вторият етап е бил хостван и регистриран при руски доставчик на VPS, а кобалтовият маяк [C2] е бил регистриран във Варшава, Полша“, обяснява той.

Той казва, че това, което е намерил за най-интересно във веригата на атаката, е, че първоначалният пробив е бил осъществен чрез защитеното приложение Signal.

„Месинджърът Signal до голяма степен се използва от служители, фокусирани върху сигурността, или такива, които участват в споделянето на тайна информация, като например журналисти“, отбелязва той.

Укрепете киберзащитата си с осведоменост за сигурността и управлявайте  кръпките

Вайцман казва, че тъй като повечето кибератаки започват с фишинг или привличане на връзки чрез имейли или съобщения, по-широката кибернетична осведоменост на служителите играе важна роля за намаляване на подобни опити за атаки.

А за екипите по сигурността „Препоръчваме също така да сканират за предоставените IoC в мрежата, както и да се уверят, че Office е закърпен до последната версия“, казва Вайцман.

Кали Гюнтер, старши мениджър на отдела за изследване на киберзаплахите в Critical Start, казва, че от гледна точка на защитата разчитането на по-стари експлойти също подчертава значението на надеждните системи за управление на кръпките.

„Освен това сложността на атаката подчертава необходимостта от усъвършенствани механизми за откриване, които надхвърлят базираните на сигнатури подходи за киберзащита“, казва тя, „включващи откриване на поведение и аномалии за идентифициране на модифициран зловреден софтуер.“

 

Източник: DARKReading

Подобни публикации

4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
3 октомври 2024

Пробив с нулев ден в Rackspace Sparks Vendor B...

Корпоративният хост за облачни услуги Rackspace е бил хакнат чрез н...
Бъдете социални
Още по темата
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
03/10/2024

Криптопортфейли, насочени ч...

Потребителите на популярни портфейли за криптовалута...
03/10/2024

Пробив с нулев ден в Racks...

Корпоративният хост за облачни услуги Rackspace...
Последно добавени
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
04/10/2024

Холандското правителство об...

Министърът на правосъдието заяви пред депутатите,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!