Den statssponsorerede cyberangrebsgruppe kendt som Billbug formåede at kompromittere en digital certifikatmyndighed (CA) som en del af en omfattende spionagekampagne, der strakte sig tilbage til marts - en bekymrende udvikling i den avancerede persistente trussel (APT) playbook, advarer forskere.
Digitale certifikater er filer, der bruges til at signere software som gyldig og bekræfte identiteten af en enhed eller bruger for at aktivere krypterede forbindelser. Som sådan kunne et CA-kompromis føre til en legion af snigende opfølgende angreb.
"Målretningen af en certifikatmyndighed er bemærkelsesværdig, som hvis angriberne var i stand til at kompromittere den for at få adgang til certifikater, kunne de potentielt bruge dem til at signere malware med et gyldigt certifikat og hjælpe det med at undgå opdagelse på ofrets maskiner," ifølge en rapport denne uge fra Symantec. "Det kan også potentielt bruge kompromitterede certifikater til at opsnappe HTTPS-trafik."
"Dette er potentielt meget farligt," bemærkede forskerne.
En vedvarende bølge af cyberkompromiser
Billbug (alias Lotus Blossom eller Thrip) er en Kina-baseret spionagegruppe, der hovedsageligt retter sig mod ofre i Sydøstasien. Det er kendt for storvildtsjagt - dvs. at gå efter hemmeligheder, der ligger inde med militære organisationer, statslige enheder og kommunikationsudbydere. Nogle gange kaster det et bredere net og antyder mørkere motiver: I et tidligere tilfælde infiltrerede det en rumfartsoperatør for at inficere computere, der overvåger og kontrollerer satellitternes bevægelser.
I den seneste serie af uhyggelig aktivitet ramte APT et pantheon af regerings- og forsvarsagenturer i hele Asien, og i ét tilfælde inficerede "et stort antal maskiner" på et regeringsnetværk med dens tilpassede malware.
"Denne kampagne var i gang fra mindst marts 2022 til september 2022, og det er muligt, at denne aktivitet kan være i gang," siger Brigid O Gorman, senior efterretningsanalytiker hos Symantec Threat Hunter Team. "Billbug er en veletableret trusselsgruppe, der har gennemført flere kampagner gennem årene. Det er muligt, at denne aktivitet kan strække sig til yderligere organisationer eller geografiske områder, selvom Symantec ikke har beviser for det i øjeblikket."
En velkendt tilgang til cyberangreb
Ved disse mål såvel som hos CA har den indledende adgangsvektor været udnyttelsen af sårbare, offentligt vendte applikationer. Efter at have opnået evnen til at eksekvere kode, fortsætter trusselsaktørerne med at installere deres kendte, tilpassede Hannotog eller Sagerunex bagdøre, før de graver dybere ned i netværk.
Til de senere kill-chain-stadier bruger Billbug-angribere flere living-off-the-land binære filer (LoLBins), såsom AdFind, Certutil, NBTscan, Ping, Port Scanner, Route, Tracert, Winmail og WinRAR, ifølge Symantecs rapport.
Disse legitime værktøjer kan misbruges til forskellige dobbeltgængerbrug, såsom at forespørge Active Directory for at kortlægge et netværk, ZIP-filer til eksfiltrering, afdække stier mellem slutpunkter, scanning af NetBIOS og porte og installation af browserrodcertifikater - for ikke at nævne download af yderligere malware .
De tilpassede bagdøre kombineret med dual-use værktøjer er et velkendt fodaftryk, der tidligere har været brugt af APT. Men manglen på bekymring over offentlig eksponering er par for kurset for gruppen.
"Det er bemærkelsesværdigt, at Billbug tilsyneladende ikke er afskrækket af muligheden for at få denne aktivitet tilskrevet sig, idet den genbruger værktøjer, der tidligere har været knyttet til gruppen," siger Gorman.
Hun tilføjer: "Koncernens store brug af at leve af jorden og værktøjer til dobbelt anvendelse er også bemærkelsesværdig og understreger behovet for, at organisationer har sikkerhedsprodukter på plads, der ikke kun kan opdage malware, men også også anerkende, om legitime værktøjer potentielt bliver brugt på en mistænkelig eller ondsindet måde."
Symantec har underrettet den pågældende unavngivne CA for at informere den om aktiviteten, men Gorman afviste at give yderligere oplysninger om dens reaktion eller afhjælpning.
Selvom der hidtil ikke er nogen indikation af, at gruppen var i stand til at fortsætte med at kompromittere faktiske digitale certifikater, råder forskeren, "Virksomheder bør være opmærksomme på, at malware kan signeres med gyldige certifikater, hvis trusselsaktører er i stand til at opnå adgang til certificeringsmyndigheder."
Generelt bør organisationer vedtage en dybdegående forsvarsstrategi ved at bruge flere detektions-, beskyttelses- og hærdningsteknologier for at mindske risikoen på hvert punkt i en potentiel angrebskæde, siger hun.
"Symantec vil også råde til at implementere korrekt revision og kontrol af administrationskontobrug," bemærkede Gorman. "Vi vil også foreslå at oprette brugsprofiler for admin-værktøjer, da mange af disse værktøjer bruges af angribere til at bevæge sig sideværts uopdaget gennem et netværk. Overordnet set kan multifaktorautentificering (MFA) hjælpe med at begrænse anvendeligheden af kompromitterede legitimationsoplysninger."
