Хакери, свързани със Службата за външно разузнаване на Руската федерация (SVR), продължиха своите нахлувания в мрежи на множество организации след компрометирането на веригата за доставки на SolarWinds, използвайки две наскоро открити сложни заплахи. Зловредните импланти са вариант на GoldMax backdoor за Linux системи и напълно ново семейство зловреден софтуер, което компанията за киберсигурност CrowdStrike вече проследява като TrailBlazer. и двете заплахи се използват в кампаниите на StellarParticle поне от средата на 2019г., но бяха идентифицирани чак сега, по време на разследвания за реакция на инциденти. Атаките на StellarParticle се приписват на хакерската група APT29, която провежда кампании за кибер шпионаж повече от 12 години и е известна още като CozyBear, The Dukes и Yttrium.
В доклад от днес компанията за киберсигурност CrowdStrike описва в детайли най-новите тактики, техники и процедури (TTP), наблюдавани при кибератаки от спонсорирани от държавата хакери на Cozy Bear. Докато някои от техниките са донякъде често срещани днес, Cosy Bear ги използва много преди да станат популярни:
– отвличане на идентификационни данни
– отвличане на Office 365 (O365) Service Principal и Application
– заобикаляне на многофакторна автентификация (MFA) чрез кражба на бисквитки на браузъра
– кражба на идентификационни данни с помощта на Get-ADReplAccount
Отвличането на идентификационни данни беше първият етап от атаката, позволявайки на заплахата да влезе в Office 365 от вътрешен сървър, до който хакерите достигнаха чрез компрометирана публична система. Заобикалянето на MFA за достъп до облачни ресурси чрез кражба на бисквитки на браузъра се използва от преди 2020г. CrowdStrike казва, че APT29 поддържа нисък профил след декриптиране на бисквитките за удостоверяване, вероятно офлайн, като използва разширението Cookie Editor за Chrome, за да ги възпроизведе . Това им позволява да се движат странично в мрежата и да достигнат до следващия етап на атаката, свързвайки се с наемателя на O365. Докладът на CrowdStrike описва стъпките, които APT29 предприема, за да постигне устойчивост в позиция, която им позволява да четат всякакви имейли и файлове на SharePoint или OneDrive на компрометираната организация.
По време на работата си по реагиране на инциденти върху атаките на APT29 StellarParticle, изследователите на CrowdStrike използваха базата данни за регистриране на потребителския достъп (UAL), за да идентифицират по-ранно злонамерено използване на акаунт, което доведе до намиране на зловреден софтуер GoldMax за Linux и TrailBlazer.
CrowdStrike казва, че TrailBlazer е напълно ново семейство от зловреден софтуер, докато GoldMax за Linux backdoor „е почти идентичен по функционалност и изпълнение с идентифицирания по-рано вариант на Windows от май 2020г.“. Изследователите смятат, че малките разлики между двете версии на GoldMax се дължат на непрекъснатите подобрения от разработчика за дългосрочно избягване на откриване. GoldMax вероятно е бил използван за постоянство (crontab с ред „@reboot“ за потребител без root) за дълги периоди в кампаниите на StellarParticle. Задната врата остана неоткрита, представяйки се като легитимен файл в скрита директория. Имплантът на TrailBlazer също се скри под името на легитимен файл и беше конфигуриран за постоянно с помощта на абонаментите за събития на инструмента за управление на Windows (WMI), сравнително нова техника през 2019г., най-ранната известна дата за внедряването му в системите – жертви. TrailBlazer успява да запази комуникацията със сървъра за командване и управление (C2) скрита, като го маскира като легитимни HTTP заявки за Google Notifications. CrowdStrike отбелязва, че имплантът има модулна функционалност и „много ниско разпространение“ и че споделя прилики с други семейства злонамерен софтуер, използвани от същия заплаха, като GoldMax и Sunburst (и двата използвани в атаката на веригата за доставки на SolarWinds).
Тим Паризи, директор на професионалните услуги в CrowdStrike, каза, че скритата дейност на двете части от зловреден софтуер е забавила откриването им, тъй като изследователите са ги открили в средата на 2021г.
След като получиха достъп до инфраструктурата на целевата организация и установиха постоянство, хакерите на APT29 използваха всяка възможност, за да съберат разузнавателна информация, която да им позволи да продължат атаката. Една постоянна тактика беше да се черпи информация от вътрешните хранилища на знания на жертвата, така наречените уикита. Тези документи могат да съдържат чувствителни подробности, специфични за различни услуги и продукти в организацията. Паризи каза, че достъпът до уикита на компанията е често срещана разузнавателна дейност на APT29 при разследваните атаки на StellarParticle.
Дълбокото гмуркане на CrowdStrike в кампаниите StellarParticle на APT29 предлага подробности за това как заплахата се свързва жертвата на O365 чрез модула PowerShell на Windows Azure Active Directory и изпълнява заявки за изброяване за роли, членове, потребители, домейни, акаунти или идентификационни данни на принципал на услугата.
Противникът е добавил нов таен ключ към приложението и е определил неговата валидност за повече от 10 години, отбелязват изследователите. Нивото на разрешение, получено по този начин, позволява на хакерите достъп до цялата поща и файлове на SharePoint/OneDrive в компанията и им позволява да „създават нови акаунти и да присвояват администраторски права на всеки акаунт в организацията“.
След като Cosy Bear/APT29 установят постоянно присъствие в целева организация, те ще го поддържат възможно най-дълго, понякога подпомагани от лошата хигиена на сигурността на компрометираната организация. Най-дългото време, което хакерите са прекарали в организация, е две години, каза Паризи.
Задържането толкова дълго не би било възможно без известни усилия от хакерите, тъй като организациите често ротират идентификационните данни като предпазна мярка за сигурност. За да предотвратят загубата на достъп, хакерите на Cozy Bear периодично обновяват откраднатите идентификационни данни, като крадат нови, често чрез Mimikatz. В поне един случай обаче администраторите на компрометираната компания нулират паролите си до същите, като по този начин провалят целта за ротация на идентификационни данни. Хакерите на Cozy Bear са автори на едни от най-сложните заплахи в света на кибершпионажа, с отлични умения да проникнат и да останат неоткрити в инфраструктурата на компанията за дълги периоди от време. По време на атаките на StellarParticle те демонстрираха експертни познания в управлението на Azure, Office 365 и Active Directory.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.