Хакери, свързани със Службата за външно разузнаване на Руската федерация (SVR), продължиха своите нахлувания в мрежи на множество организации след компрометирането на веригата за доставки на SolarWinds, използвайки две наскоро открити сложни заплахи. Зловредните импланти са вариант на GoldMax backdoor за Linux системи и напълно ново семейство зловреден софтуер, което компанията за киберсигурност CrowdStrike вече проследява като TrailBlazer. и двете заплахи се използват в кампаниите на StellarParticle поне от средата на 2019г., но бяха идентифицирани чак сега, по време на разследвания за реакция на инциденти. Атаките на StellarParticle се приписват на хакерската група APT29, която провежда кампании за кибер шпионаж повече от 12 години и е известна още като CozyBear, The Dukes и Yttrium.

Кражба на бисквитки за заобикаляне на МФУ

В доклад от днес компанията за киберсигурност CrowdStrike описва в детайли най-новите тактики, техники и процедури (TTP), наблюдавани при кибератаки от спонсорирани от държавата хакери на Cozy Bear. Докато някои от техниките са донякъде често срещани днес, Cosy Bear ги използва много преди да станат популярни:

–  отвличане на идентификационни данни

– отвличане на Office 365 (O365) Service Principal и Application

– заобикаляне на многофакторна автентификация (MFA) чрез кражба на бисквитки на браузъра

– кражба на идентификационни данни с помощта на Get-ADReplAccount

Отвличането на идентификационни данни беше първият етап от атаката, позволявайки на заплахата да влезе в Office 365 от вътрешен сървър, до който хакерите достигнаха чрез компрометирана публична система. Заобикалянето на MFA за достъп до облачни ресурси чрез кражба на бисквитки на браузъра се използва от преди 2020г. CrowdStrike казва, че APT29 поддържа нисък профил след декриптиране на бисквитките за удостоверяване, вероятно офлайн, като използва разширението Cookie Editor за Chrome, за да ги възпроизведе . Това им позволява да се движат странично в мрежата и да достигнат до следващия етап на атаката, свързвайки се с наемателя на O365. Докладът на CrowdStrike описва стъпките, които APT29 предприема, за да постигне устойчивост в позиция, която им позволява да четат всякакви имейли и файлове на SharePoint или OneDrive на компрометираната организация.

По време на работата си по реагиране на инциденти върху атаките на APT29 StellarParticle, изследователите на CrowdStrike използваха базата данни за регистриране на потребителския достъп (UAL), за да идентифицират по-ранно злонамерено използване на акаунт, което доведе до намиране на зловреден софтуер GoldMax за Linux и TrailBlazer.

CrowdStrike казва, че TrailBlazer е напълно ново семейство от зловреден софтуер, докато GoldMax за Linux backdoor „е почти идентичен по функционалност и изпълнение с идентифицирания по-рано вариант на Windows от май 2020г.“. Изследователите смятат, че малките разлики между двете версии на GoldMax се дължат на непрекъснатите подобрения от разработчика за дългосрочно избягване на откриване. GoldMax вероятно е бил използван за постоянство (crontab с ред „@reboot“ за потребител без root) за дълги периоди в кампаниите на StellarParticle. Задната врата остана неоткрита, представяйки се като легитимен файл в скрита директория. Имплантът на TrailBlazer също се скри под името на легитимен файл и беше конфигуриран за постоянно с помощта на абонаментите за събития на инструмента за управление на Windows (WMI), сравнително нова техника през 2019г., най-ранната известна дата за внедряването му в системите –  жертви. TrailBlazer успява да запази комуникацията със сървъра за командване и управление (C2) скрита, като го маскира като легитимни HTTP заявки за Google Notifications. CrowdStrike отбелязва, че имплантът има модулна функционалност и „много ниско разпространение“ и че споделя прилики с други семейства злонамерен софтуер, използвани от същия заплаха, като GoldMax и Sunburst (и двата използвани в атаката на веригата за доставки на SolarWinds).

Тим Паризи, директор на професионалните услуги в CrowdStrike, каза, че скритата дейност на двете части от зловреден софтуер е забавила откриването им, тъй като изследователите са ги открили в средата на 2021г.

Разузнаване и преминаване към Office 365

След като получиха достъп до инфраструктурата на целевата организация и установиха постоянство, хакерите на APT29 използваха всяка възможност, за да съберат разузнавателна информация, която да им позволи да продължат атаката. Една постоянна тактика беше да се черпи информация от вътрешните хранилища на знания на жертвата, така наречените уикита. Тези документи могат да съдържат чувствителни подробности, специфични за различни услуги и продукти в организацията. Паризи каза, че достъпът до уикита на компанията е често срещана разузнавателна дейност на APT29 при разследваните атаки на StellarParticle.

Дълбокото гмуркане на CrowdStrike в кампаниите StellarParticle на APT29 предлага подробности за това как заплахата се свързва  жертвата на O365 чрез модула PowerShell на Windows Azure Active Directory и изпълнява заявки за изброяване за роли, членове, потребители, домейни, акаунти или идентификационни данни на принципал на услугата.

Противникът е добавил нов таен ключ към приложението и е определил неговата валидност за повече от 10 години, отбелязват изследователите. Нивото на разрешение, получено по този начин, позволява на хакерите достъп до цялата поща и файлове на SharePoint/OneDrive в компанията и им позволява да „създават нови акаунти и да присвояват администраторски права на всеки акаунт в организацията“.

Поддържане на постоянство

След като Cosy Bear/APT29 установят постоянно присъствие в целева организация, те ще го поддържат възможно най-дълго, понякога подпомагани от лошата хигиена на сигурността на компрометираната организация. Най-дългото време, което хакерите са прекарали в организация, е две години, каза Паризи. 

Задържането толкова дълго не би било възможно без известни усилия от хакерите, тъй като организациите често ротират идентификационните данни като предпазна мярка за сигурност. За да предотвратят загубата на достъп, хакерите на Cozy Bear периодично обновяват откраднатите идентификационни данни, като крадат нови, често чрез Mimikatz. В поне един случай обаче администраторите на компрометираната компания нулират паролите си до същите, като по този начин провалят целта за ротация на идентификационни данни. Хакерите на Cozy Bear са автори на едни от най-сложните заплахи в света на кибершпионажа, с отлични умения да проникнат и да останат неоткрити в инфраструктурата на компанията за дълги периоди от време. По време на атаките на StellarParticle те демонстрираха експертни познания в управлението на Azure, Office 365 и Active Directory.

Източник: По материали от Интернет
Share on facebook
Share on twitter
Share on linkedin
Share on email

Подобни публикации

13 май 2022

Нов инструмент откри над 100 уязвимости в офисн...

Изследователи по сигурността са разработили инструмент за сканиране...

Смърф атаките

Smurf е разпределена атака с отказ на услуга (DDoS), при която напа...

ФБР предупреждава за нова банкова измама

ФБР  издаде сигнал по-рано този месец, в който подробно описва нов ...
11 май 2022

Как да замъглите къщата си в Google Maps

Може би вече сте забелязали, но лицата на хората в Street View на G...
10 май 2022

Коста Рика обявява извънредно положение заради ...

Съобщава се, че новият президент на Коста Рика Родриго, Чавес Робле...

Преглед на WatchGuard Firebox M670

Поглеждайки в горната част на семейството на уреди за сигурност на ...
10 май 2022

Salesforce придобива Troop.ai

Salesforce обяви окончателно споразумение за закупуване на Tropps.a...

Мнения и коментари

(0.0)
0.0/5
{{ reviewsTotal }} Review
{{ reviewsTotal }} Reviews
{{ options.labels.newReviewButton }}
{{ userData.canReview.message }}
Бъдете социални
Share on facebook
Share on twitter
Share on linkedin
Share on email
Още по темата
11/05/2022

ФБР предупреждава за нова б...

ФБР  издаде сигнал по-рано този месец,...
10/05/2022

Коста Рика обявява извънред...

Съобщава се, че новият президент на...
05/05/2022

Китай продължава да се насо...

Google съобщи днес, че спонсорирана от...
Последно добавени
13/05/2022

Нов инструмент откри над 10...

Изследователи по сигурността са разработили инструмент...
11/05/2022

Смърф атаките

Smurf е разпределена атака с отказ...
11/05/2022

ФБР предупреждава за нова б...

ФБР  издаде сигнал по-рано този месец,...
Ключови думи