РУСКИ ДЪРЖАВНИ ХАКЕРИ СА ИЗПОЛЗВАЛИ НОВООТКРИТ МАЛУЕР С ГОДИНИ

Хакери, свързани със Службата за външно разузнаване на Руската федерация (SVR), продължиха своите нахлувания в мрежи на множество организации след компрометирането на веригата за доставки на SolarWinds, използвайки две наскоро открити сложни заплахи. Зловредните импланти са вариант на GoldMax backdoor за Linux системи и напълно ново семейство зловреден софтуер, което компанията за киберсигурност CrowdStrike вече проследява като TrailBlazer. и двете заплахи се използват в кампаниите на StellarParticle поне от средата на 2019г., но бяха идентифицирани чак сега, по време на разследвания за реакция на инциденти. Атаките на StellarParticle се приписват на хакерската група APT29, която провежда кампании за кибер шпионаж повече от 12 години и е известна още като CozyBear, The Dukes и Yttrium.

Кражба на бисквитки за заобикаляне на МФУ

В доклад от днес компанията за киберсигурност CrowdStrike описва в детайли най-новите тактики, техники и процедури (TTP), наблюдавани при кибератаки от спонсорирани от държавата хакери на Cozy Bear. Докато някои от техниките са донякъде често срещани днес, Cosy Bear ги използва много преди да станат популярни:

–  отвличане на идентификационни данни

– отвличане на Office 365 (O365) Service Principal и Application

– заобикаляне на многофакторна автентификация (MFA) чрез кражба на бисквитки на браузъра

– кражба на идентификационни данни с помощта на Get-ADReplAccount

Отвличането на идентификационни данни беше първият етап от атаката, позволявайки на заплахата да влезе в Office 365 от вътрешен сървър, до който хакерите достигнаха чрез компрометирана публична система. Заобикалянето на MFA за достъп до облачни ресурси чрез кражба на бисквитки на браузъра се използва от преди 2020г. CrowdStrike казва, че APT29 поддържа нисък профил след декриптиране на бисквитките за удостоверяване, вероятно офлайн, като използва разширението Cookie Editor за Chrome, за да ги възпроизведе . Това им позволява да се движат странично в мрежата и да достигнат до следващия етап на атаката, свързвайки се с наемателя на O365. Докладът на CrowdStrike описва стъпките, които APT29 предприема, за да постигне устойчивост в позиция, която им позволява да четат всякакви имейли и файлове на SharePoint или OneDrive на компрометираната организация.

По време на работата си по реагиране на инциденти върху атаките на APT29 StellarParticle, изследователите на CrowdStrike използваха базата данни за регистриране на потребителския достъп (UAL), за да идентифицират по-ранно злонамерено използване на акаунт, което доведе до намиране на зловреден софтуер GoldMax за Linux и TrailBlazer.

CrowdStrike казва, че TrailBlazer е напълно ново семейство от зловреден софтуер, докато GoldMax за Linux backdoor „е почти идентичен по функционалност и изпълнение с идентифицирания по-рано вариант на Windows от май 2020г.“. Изследователите смятат, че малките разлики между двете версии на GoldMax се дължат на непрекъснатите подобрения от разработчика за дългосрочно избягване на откриване. GoldMax вероятно е бил използван за постоянство (crontab с ред „@reboot“ за потребител без root) за дълги периоди в кампаниите на StellarParticle. Задната врата остана неоткрита, представяйки се като легитимен файл в скрита директория. Имплантът на TrailBlazer също се скри под името на легитимен файл и беше конфигуриран за постоянно с помощта на абонаментите за събития на инструмента за управление на Windows (WMI), сравнително нова техника през 2019г., най-ранната известна дата за внедряването му в системите –  жертви. TrailBlazer успява да запази комуникацията със сървъра за командване и управление (C2) скрита, като го маскира като легитимни HTTP заявки за Google Notifications. CrowdStrike отбелязва, че имплантът има модулна функционалност и „много ниско разпространение“ и че споделя прилики с други семейства злонамерен софтуер, използвани от същия заплаха, като GoldMax и Sunburst (и двата използвани в атаката на веригата за доставки на SolarWinds).

Тим Паризи, директор на професионалните услуги в CrowdStrike, каза, че скритата дейност на двете части от зловреден софтуер е забавила откриването им, тъй като изследователите са ги открили в средата на 2021г.

Разузнаване и преминаване към Office 365

След като получиха достъп до инфраструктурата на целевата организация и установиха постоянство, хакерите на APT29 използваха всяка възможност, за да съберат разузнавателна информация, която да им позволи да продължат атаката. Една постоянна тактика беше да се черпи информация от вътрешните хранилища на знания на жертвата, така наречените уикита. Тези документи могат да съдържат чувствителни подробности, специфични за различни услуги и продукти в организацията. Паризи каза, че достъпът до уикита на компанията е често срещана разузнавателна дейност на APT29 при разследваните атаки на StellarParticle.

Дълбокото гмуркане на CrowdStrike в кампаниите StellarParticle на APT29 предлага подробности за това как заплахата се свързва  жертвата на O365 чрез модула PowerShell на Windows Azure Active Directory и изпълнява заявки за изброяване за роли, членове, потребители, домейни, акаунти или идентификационни данни на принципал на услугата.

Противникът е добавил нов таен ключ към приложението и е определил неговата валидност за повече от 10 години, отбелязват изследователите. Нивото на разрешение, получено по този начин, позволява на хакерите достъп до цялата поща и файлове на SharePoint/OneDrive в компанията и им позволява да „създават нови акаунти и да присвояват администраторски права на всеки акаунт в организацията“.

Поддържане на постоянство

След като Cosy Bear/APT29 установят постоянно присъствие в целева организация, те ще го поддържат възможно най-дълго, понякога подпомагани от лошата хигиена на сигурността на компрометираната организация. Най-дългото време, което хакерите са прекарали в организация, е две години, каза Паризи. 

Задържането толкова дълго не би било възможно без известни усилия от хакерите, тъй като организациите често ротират идентификационните данни като предпазна мярка за сигурност. За да предотвратят загубата на достъп, хакерите на Cozy Bear периодично обновяват откраднатите идентификационни данни, като крадат нови, често чрез Mimikatz. В поне един случай обаче администраторите на компрометираната компания нулират паролите си до същите, като по този начин провалят целта за ротация на идентификационни данни. Хакерите на Cozy Bear са автори на едни от най-сложните заплахи в света на кибершпионажа, с отлични умения да проникнат и да останат неоткрити в инфраструктурата на компанията за дълги периоди от време. По време на атаките на StellarParticle те демонстрираха експертни познания в управлението на Azure, Office 365 и Active Directory.

Източник: По материали от Интернет

Подобни публикации

5 декември 2023

СМС измамите - как да се предпазим

Получавали ли сте някога нежелано текстово съобщение, което обещава...
4 декември 2023

Ирански хакери превземат контролери на водни съ...

Критичната инфраструктура в няколко американски щата може да е била...
4 декември 2023

Рансъмуерът е безмилостен: какво можете да напр...

Не само, че броят на рансъмуерите се увеличава, но този вид зловред...
3 декември 2023

Свалянето на Qakbot: Смекчаване на последиците ...

Министерството на правосъдието на САЩ и ФБР наскоро си сътрудничиха...
2 декември 2023

Владимир Дунаев е осъден за създаването на злов...

Министерството на правосъдието на САЩ обяви, че руски гражданин е п...
2 декември 2023

Клиентите на онлайн туристическата агенция Book...

Една от най-големите онлайн туристически агенции в света – Booking....
2 декември 2023

Националната ядрена лаборатория на Айдахо е бил...

Националната лаборатория на Айдахо (INL), една от 17-те национални ...
Бъдете социални
Още по темата
30/11/2023

Dollar Tree е жертва на нар...

Веригата дисконтови магазини Dollar Tree беше...
29/11/2023

Ирански хакери експлоатират...

Агенцията за киберсигурност и инфраструктура в...
28/11/2023

Хакери компрометираха чувст...

Rivers Casino Des Plaines е засегнато...
Последно добавени
05/12/2023

СМС измамите - как да се пр...

Получавали ли сте някога нежелано текстово...
04/12/2023

Ирански хакери превземат ко...

Критичната инфраструктура в няколко американски щата...
04/12/2023

Рансъмуерът е безмилостен: ...

Не само, че броят на рансъмуерите...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!