РУСКИ ДЪРЖАВНИ ХАКЕРИ СА ИЗПОЛЗВАЛИ НОВООТКРИТ МАЛУЕР С ГОДИНИ

Хакери, свързани със Службата за външно разузнаване на Руската федерация (SVR), продължиха своите нахлувания в мрежи на множество организации след компрометирането на веригата за доставки на SolarWinds, използвайки две наскоро открити сложни заплахи. Зловредните импланти са вариант на GoldMax backdoor за Linux системи и напълно ново семейство зловреден софтуер, което компанията за киберсигурност CrowdStrike вече проследява като TrailBlazer. и двете заплахи се използват в кампаниите на StellarParticle поне от средата на 2019г., но бяха идентифицирани чак сега, по време на разследвания за реакция на инциденти. Атаките на StellarParticle се приписват на хакерската група APT29, която провежда кампании за кибер шпионаж повече от 12 години и е известна още като CozyBear, The Dukes и Yttrium.

Кражба на бисквитки за заобикаляне на МФУ

В доклад от днес компанията за киберсигурност CrowdStrike описва в детайли най-новите тактики, техники и процедури (TTP), наблюдавани при кибератаки от спонсорирани от държавата хакери на Cozy Bear. Докато някои от техниките са донякъде често срещани днес, Cosy Bear ги използва много преди да станат популярни:

–  отвличане на идентификационни данни

– отвличане на Office 365 (O365) Service Principal и Application

– заобикаляне на многофакторна автентификация (MFA) чрез кражба на бисквитки на браузъра

– кражба на идентификационни данни с помощта на Get-ADReplAccount

Отвличането на идентификационни данни беше първият етап от атаката, позволявайки на заплахата да влезе в Office 365 от вътрешен сървър, до който хакерите достигнаха чрез компрометирана публична система. Заобикалянето на MFA за достъп до облачни ресурси чрез кражба на бисквитки на браузъра се използва от преди 2020г. CrowdStrike казва, че APT29 поддържа нисък профил след декриптиране на бисквитките за удостоверяване, вероятно офлайн, като използва разширението Cookie Editor за Chrome, за да ги възпроизведе . Това им позволява да се движат странично в мрежата и да достигнат до следващия етап на атаката, свързвайки се с наемателя на O365. Докладът на CrowdStrike описва стъпките, които APT29 предприема, за да постигне устойчивост в позиция, която им позволява да четат всякакви имейли и файлове на SharePoint или OneDrive на компрометираната организация.

По време на работата си по реагиране на инциденти върху атаките на APT29 StellarParticle, изследователите на CrowdStrike използваха базата данни за регистриране на потребителския достъп (UAL), за да идентифицират по-ранно злонамерено използване на акаунт, което доведе до намиране на зловреден софтуер GoldMax за Linux и TrailBlazer.

CrowdStrike казва, че TrailBlazer е напълно ново семейство от зловреден софтуер, докато GoldMax за Linux backdoor „е почти идентичен по функционалност и изпълнение с идентифицирания по-рано вариант на Windows от май 2020г.“. Изследователите смятат, че малките разлики между двете версии на GoldMax се дължат на непрекъснатите подобрения от разработчика за дългосрочно избягване на откриване. GoldMax вероятно е бил използван за постоянство (crontab с ред „@reboot“ за потребител без root) за дълги периоди в кампаниите на StellarParticle. Задната врата остана неоткрита, представяйки се като легитимен файл в скрита директория. Имплантът на TrailBlazer също се скри под името на легитимен файл и беше конфигуриран за постоянно с помощта на абонаментите за събития на инструмента за управление на Windows (WMI), сравнително нова техника през 2019г., най-ранната известна дата за внедряването му в системите –  жертви. TrailBlazer успява да запази комуникацията със сървъра за командване и управление (C2) скрита, като го маскира като легитимни HTTP заявки за Google Notifications. CrowdStrike отбелязва, че имплантът има модулна функционалност и „много ниско разпространение“ и че споделя прилики с други семейства злонамерен софтуер, използвани от същия заплаха, като GoldMax и Sunburst (и двата използвани в атаката на веригата за доставки на SolarWinds).

Тим Паризи, директор на професионалните услуги в CrowdStrike, каза, че скритата дейност на двете части от зловреден софтуер е забавила откриването им, тъй като изследователите са ги открили в средата на 2021г.

Разузнаване и преминаване към Office 365

След като получиха достъп до инфраструктурата на целевата организация и установиха постоянство, хакерите на APT29 използваха всяка възможност, за да съберат разузнавателна информация, която да им позволи да продължат атаката. Една постоянна тактика беше да се черпи информация от вътрешните хранилища на знания на жертвата, така наречените уикита. Тези документи могат да съдържат чувствителни подробности, специфични за различни услуги и продукти в организацията. Паризи каза, че достъпът до уикита на компанията е често срещана разузнавателна дейност на APT29 при разследваните атаки на StellarParticle.

Дълбокото гмуркане на CrowdStrike в кампаниите StellarParticle на APT29 предлага подробности за това как заплахата се свързва  жертвата на O365 чрез модула PowerShell на Windows Azure Active Directory и изпълнява заявки за изброяване за роли, членове, потребители, домейни, акаунти или идентификационни данни на принципал на услугата.

Противникът е добавил нов таен ключ към приложението и е определил неговата валидност за повече от 10 години, отбелязват изследователите. Нивото на разрешение, получено по този начин, позволява на хакерите достъп до цялата поща и файлове на SharePoint/OneDrive в компанията и им позволява да „създават нови акаунти и да присвояват администраторски права на всеки акаунт в организацията“.

Поддържане на постоянство

След като Cosy Bear/APT29 установят постоянно присъствие в целева организация, те ще го поддържат възможно най-дълго, понякога подпомагани от лошата хигиена на сигурността на компрометираната организация. Най-дългото време, което хакерите са прекарали в организация, е две години, каза Паризи. 

Задържането толкова дълго не би било възможно без известни усилия от хакерите, тъй като организациите често ротират идентификационните данни като предпазна мярка за сигурност. За да предотвратят загубата на достъп, хакерите на Cozy Bear периодично обновяват откраднатите идентификационни данни, като крадат нови, често чрез Mimikatz. В поне един случай обаче администраторите на компрометираната компания нулират паролите си до същите, като по този начин провалят целта за ротация на идентификационни данни. Хакерите на Cozy Bear са автори на едни от най-сложните заплахи в света на кибершпионажа, с отлични умения да проникнат и да останат неоткрити в инфраструктурата на компанията за дълги периоди от време. По време на атаките на StellarParticle те демонстрираха експертни познания в управлението на Azure, Office 365 и Active Directory.

Източник: По материали от Интернет

Подобни публикации

6 февруари 2023

Новият крипто токен Dingo начислява такса за тр...

Изследователи от компанията за ИТ сигурност Check Point security са...
6 февруари 2023

#9 Cyber Security Talks Bulgaria ще се проведе...

След страхотното събитие на КиберКЛУБ // CyberCLUB е отново време з...
4 февруари 2023

Нов рансъмуер използва грешка във VMware и се ...

Хипервайзорите VMware ESXi са мишена на нова вълна от атаки, предна...
3 февруари 2023

Разкрити са нови уязвимости в сигурността при е...

Две нови слабости в сигурността, открити в няколко системи за зареж...
3 февруари 2023

Google Ads популяризира "виртуализиран" зловред...

Продължаваща кампания за злонамерена реклама в Google разпространяв...
2 февруари 2023

Нови варианти на руския шпионския софтуер Gamar...

Държавният център за киберзащита (ДЦКЗ) на Украйна назова официално...
1 февруари 2023

Microsoft спря продажбата на Windows 10 по-рано

Слагайки край на една епоха, Microsoft вече не продава директно про...
1 февруари 2023

Как правилно да скриете чувствителен текст в PD...

Цифровите документи вече са важна част от повечето бизнес и правите...
1 февруари 2023

Не знаете къде са вашите тайни

Знаете ли къде са вашите тайни? Ако не, може  да се каже: не сте са...
Бъдете социални
Още по темата
04/02/2023

Нов рансъмуер използва гре...

Хипервайзорите VMware ESXi са мишена на...
03/02/2023

Google Ads популяризира "ви...

Продължаваща кампания за злонамерена реклама в...
28/01/2023

Украйна: Sandworm удари ин...

Украинският екип за реагиране при компютърни...
Последно добавени
06/02/2023

Новият крипто токен Dingo н...

Изследователи от компанията за ИТ сигурност...
06/02/2023

#9 Cyber Security Talks Bul...

След страхотното събитие на КиберКЛУБ //...
04/02/2023

Нов рансъмуер използва гре...

Хипервайзорите VMware ESXi са мишена на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!