Търсене
Close this search box.

РУСКИ ДЪРЖАВНИ ХАКЕРИ СА ИЗПОЛЗВАЛИ НОВООТКРИТ МАЛУЕР С ГОДИНИ

Хакери, свързани със Службата за външно разузнаване на Руската федерация (SVR), продължиха своите нахлувания в мрежи на множество организации след компрометирането на веригата за доставки на SolarWinds, използвайки две наскоро открити сложни заплахи. Зловредните импланти са вариант на GoldMax backdoor за Linux системи и напълно ново семейство зловреден софтуер, което компанията за киберсигурност CrowdStrike вече проследява като TrailBlazer. и двете заплахи се използват в кампаниите на StellarParticle поне от средата на 2019г., но бяха идентифицирани чак сега, по време на разследвания за реакция на инциденти. Атаките на StellarParticle се приписват на хакерската група APT29, която провежда кампании за кибер шпионаж повече от 12 години и е известна още като CozyBear, The Dukes и Yttrium.

Кражба на бисквитки за заобикаляне на МФУ

В доклад от днес компанията за киберсигурност CrowdStrike описва в детайли най-новите тактики, техники и процедури (TTP), наблюдавани при кибератаки от спонсорирани от държавата хакери на Cozy Bear. Докато някои от техниките са донякъде често срещани днес, Cosy Bear ги използва много преди да станат популярни:

–  отвличане на идентификационни данни

– отвличане на Office 365 (O365) Service Principal и Application

– заобикаляне на многофакторна автентификация (MFA) чрез кражба на бисквитки на браузъра

– кражба на идентификационни данни с помощта на Get-ADReplAccount

Отвличането на идентификационни данни беше първият етап от атаката, позволявайки на заплахата да влезе в Office 365 от вътрешен сървър, до който хакерите достигнаха чрез компрометирана публична система. Заобикалянето на MFA за достъп до облачни ресурси чрез кражба на бисквитки на браузъра се използва от преди 2020г. CrowdStrike казва, че APT29 поддържа нисък профил след декриптиране на бисквитките за удостоверяване, вероятно офлайн, като използва разширението Cookie Editor за Chrome, за да ги възпроизведе . Това им позволява да се движат странично в мрежата и да достигнат до следващия етап на атаката, свързвайки се с наемателя на O365. Докладът на CrowdStrike описва стъпките, които APT29 предприема, за да постигне устойчивост в позиция, която им позволява да четат всякакви имейли и файлове на SharePoint или OneDrive на компрометираната организация.

По време на работата си по реагиране на инциденти върху атаките на APT29 StellarParticle, изследователите на CrowdStrike използваха базата данни за регистриране на потребителския достъп (UAL), за да идентифицират по-ранно злонамерено използване на акаунт, което доведе до намиране на зловреден софтуер GoldMax за Linux и TrailBlazer.

CrowdStrike казва, че TrailBlazer е напълно ново семейство от зловреден софтуер, докато GoldMax за Linux backdoor „е почти идентичен по функционалност и изпълнение с идентифицирания по-рано вариант на Windows от май 2020г.“. Изследователите смятат, че малките разлики между двете версии на GoldMax се дължат на непрекъснатите подобрения от разработчика за дългосрочно избягване на откриване. GoldMax вероятно е бил използван за постоянство (crontab с ред „@reboot“ за потребител без root) за дълги периоди в кампаниите на StellarParticle. Задната врата остана неоткрита, представяйки се като легитимен файл в скрита директория. Имплантът на TrailBlazer също се скри под името на легитимен файл и беше конфигуриран за постоянно с помощта на абонаментите за събития на инструмента за управление на Windows (WMI), сравнително нова техника през 2019г., най-ранната известна дата за внедряването му в системите –  жертви. TrailBlazer успява да запази комуникацията със сървъра за командване и управление (C2) скрита, като го маскира като легитимни HTTP заявки за Google Notifications. CrowdStrike отбелязва, че имплантът има модулна функционалност и „много ниско разпространение“ и че споделя прилики с други семейства злонамерен софтуер, използвани от същия заплаха, като GoldMax и Sunburst (и двата използвани в атаката на веригата за доставки на SolarWinds).

Тим Паризи, директор на професионалните услуги в CrowdStrike, каза, че скритата дейност на двете части от зловреден софтуер е забавила откриването им, тъй като изследователите са ги открили в средата на 2021г.

Разузнаване и преминаване към Office 365

След като получиха достъп до инфраструктурата на целевата организация и установиха постоянство, хакерите на APT29 използваха всяка възможност, за да съберат разузнавателна информация, която да им позволи да продължат атаката. Една постоянна тактика беше да се черпи информация от вътрешните хранилища на знания на жертвата, така наречените уикита. Тези документи могат да съдържат чувствителни подробности, специфични за различни услуги и продукти в организацията. Паризи каза, че достъпът до уикита на компанията е често срещана разузнавателна дейност на APT29 при разследваните атаки на StellarParticle.

Дълбокото гмуркане на CrowdStrike в кампаниите StellarParticle на APT29 предлага подробности за това как заплахата се свързва  жертвата на O365 чрез модула PowerShell на Windows Azure Active Directory и изпълнява заявки за изброяване за роли, членове, потребители, домейни, акаунти или идентификационни данни на принципал на услугата.

Противникът е добавил нов таен ключ към приложението и е определил неговата валидност за повече от 10 години, отбелязват изследователите. Нивото на разрешение, получено по този начин, позволява на хакерите достъп до цялата поща и файлове на SharePoint/OneDrive в компанията и им позволява да „създават нови акаунти и да присвояват администраторски права на всеки акаунт в организацията“.

Поддържане на постоянство

След като Cosy Bear/APT29 установят постоянно присъствие в целева организация, те ще го поддържат възможно най-дълго, понякога подпомагани от лошата хигиена на сигурността на компрометираната организация. Най-дългото време, което хакерите са прекарали в организация, е две години, каза Паризи. 

Задържането толкова дълго не би било възможно без известни усилия от хакерите, тъй като организациите често ротират идентификационните данни като предпазна мярка за сигурност. За да предотвратят загубата на достъп, хакерите на Cozy Bear периодично обновяват откраднатите идентификационни данни, като крадат нови, често чрез Mimikatz. В поне един случай обаче администраторите на компрометираната компания нулират паролите си до същите, като по този начин провалят целта за ротация на идентификационни данни. Хакерите на Cozy Bear са автори на едни от най-сложните заплахи в света на кибершпионажа, с отлични умения да проникнат и да останат неоткрити в инфраструктурата на компанията за дълги периоди от време. По време на атаките на StellarParticle те демонстрираха експертни познания в управлението на Azure, Office 365 и Active Directory.

Източник: По материали от Интернет

Подобни публикации

30 май 2024

Измамата "Безплатно пиано"

Мащабна фишинг кампания използва необичайна примамка, за да спечели...
30 май 2024

OmniVision призна за атака с рансъмуер

Гигантът в областта на производството на полупроводници OmniVision ...
29 май 2024

Пуснат е експлойт за FortiSIEM с максимална тежест

Изследователи в областта на сигурността публикуваха доказателство з...
29 май 2024

Операторът на NYSE Intercontinental Exchange по...

Миналата сряда Комисията по ценните книжа и фондовите борси на САЩ ...
29 май 2024

Рутерът за игри TP-Link Archer C5400X е уязвим

Рутерът за игри TP-Link Archer C5400X е уязвим към пропуски в сигур...
29 май 2024

Christie's потвърждава пробив от RansomHub

Christie’s потвърди, че е претърпяла инцидент със сигурността...
28 май 2024

Потребителите на блокери на реклами имат пробле...

Много потребители съобщават, че видеоклиповете в YouTube автоматичн...
28 май 2024

VMware е била използвана в неотдавнашната хакер...

MITRE сподели информация за това как свързаните с Китай хакери са и...

Как работи Интерпол в областта на киберпрестъпн...

Необходима е сложна координация между правоприлагащите органи, съде...
Бъдете социални
Още по темата
28/05/2024

Хакерите се насочват към VP...

Заплахите се насочват към VPN устройствата...
27/05/2024

Атаките от типа "нулев ден"...

Атаките от типа „нулев ден“ продължават...
25/05/2024

Хакери избягаха с 3 000 гал...

Почти всеки ден новинарските агенции съобщават...
Последно добавени
30/05/2024

Измамата "Безплатно пиано"

Мащабна фишинг кампания използва необичайна примамка,...
30/05/2024

OmniVision призна за атака ...

Гигантът в областта на производството на...
29/05/2024

Пуснат е експлойт за FortiS...

Изследователи в областта на сигурността публикуваха...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!