محققان هشدار میدهند که گروه حمله سایبری تحت حمایت دولت که به نام Billbug شناخته میشود، توانست به عنوان بخشی از یک کمپین جاسوسی گسترده که تا ماه مارس ادامه داشت، یک مرجع صدور گواهی دیجیتال (CA) را به خطر بیاندازد - توسعه نگران کننده در کتاب بازی تهدید مداوم پیشرفته (APT).
گواهیهای دیجیتال فایلهایی هستند که برای امضای نرمافزار معتبر و تأیید هویت یک دستگاه یا کاربر برای فعال کردن اتصالات رمزگذاریشده استفاده میشوند. به این ترتیب، مصالحه با CA می تواند منجر به لشکر حملات بعدی مخفیانه شود.
هدف قرار دادن یک مرجع گواهی قابل توجه است، زیرا اگر مهاجمان می توانستند با موفقیت آن را برای دسترسی به گواهی ها به خطر بیاندازند، به طور بالقوه می توانند از آنها برای امضای بدافزار با یک گواهی معتبر استفاده کنند و به آن کمک کنند تا از شناسایی در ماشین های قربانی جلوگیری کند. گزارش این هفته از سیمانتک. همچنین میتواند از گواهیهای در معرض خطر برای رهگیری ترافیک HTTPS استفاده کند.»
محققان خاطرنشان کردند: «این به طور بالقوه بسیار خطرناک است.
موجی مداوم از سازشهای سایبری
Billbug (با نام مستعار Lotus Blossom یا Thrip) یک گروه جاسوسی مستقر در چین است که عمدتاً قربانیان را در جنوب شرقی آسیا هدف قرار می دهد. این برای شکار بازی های بزرگ شناخته شده است - یعنی دنبال کردن اسرار سازمان های نظامی، نهادهای دولتی و ارائه دهندگان ارتباطات. گاهی اوقات شبکه گستردهتری ایجاد میکند و به انگیزههای تاریکتر اشاره میکند: در یک نمونه گذشته، به یک اپراتور هوافضا نفوذ کرد تا رایانههایی را که حرکات ماهوارهها را نظارت و کنترل میکنند، آلوده کند.
در آخرین دوره از فعالیت های شرورانه، APT به مجموعه ای از سازمان های دولتی و دفاعی در سراسر آسیا برخورد کرد و در یک مورد «تعداد زیادی از ماشین ها» را در یک شبکه دولتی با بدافزار سفارشی خود هجوم آورد.
بریجید او گورمن، تحلیلگر ارشد اطلاعاتی در تیم شکارچی تهدید سیمانتک میگوید: «این کمپین حداقل از مارس 2022 تا سپتامبر 2022 ادامه داشت، و ممکن است این فعالیت ادامه داشته باشد. Billbug یک گروه تهدید با سابقه طولانی مدت است که در طول سال ها کمپین های متعددی را انجام داده است. این امکان وجود دارد که این فعالیت به سازمانها یا مناطق جغرافیایی دیگری نیز گسترش یابد، اگرچه سیمانتک در حال حاضر هیچ مدرکی دال بر آن ندارد.
رویکردی آشنا به حملات سایبری
در آن اهداف و همچنین در CA، بردار دسترسی اولیه، بهره برداری از برنامه های کاربردی آسیب پذیر و عمومی بوده است. پس از به دست آوردن توانایی اجرای کد، عوامل تهدید به نصب درهای پشتی شناخته شده، سفارشی Hannotog یا Sagerunex می پردازند، قبل از اینکه عمیق تر در شبکه ها نفوذ کنند.
برای مراحل بعدی زنجیره کشتن، مهاجمان Billbug از چندین مورد استفاده می کنند باینری های زندگی خارج از زمین (LoLBins)بر اساس گزارش سیمانتک، مانند AdFind، Certutil، NBTscan، Ping، Port Scanner، Route، Tracert، Winmail و WinRAR.
از این ابزارهای قانونی میتوان برای استفادههای مختلف مانند جستوجوی اکتیو دایرکتوری برای نقشهبرداری از شبکه، فایلهای ZIP برای خروج، کشف مسیرهای بین نقاط پایانی، اسکن NetBIOS و پورتها، و نصب گواهیهای ریشه مرورگر، و همچنین دانلود بدافزارهای اضافی، سوء استفاده کرد. .
درهای پشتی سفارشی همراه با ابزارهای دوگانه، ردپایی آشناست که در گذشته توسط APT استفاده شده است. اما عدم نگرانی در مورد قرار گرفتن در معرض عموم است همتراز دوره برای گروه.
گورمن میگوید: «قابل توجه است که به نظر میرسد Billbug از احتمال نسبت دادن این فعالیت به آن، با استفاده مجدد از ابزارهایی که در گذشته با گروه مرتبط بودهاند، منصرف نشده است.
او می افزاید: «استفاده سنگین این گروه از زندگی در زمین و ابزارهای دو منظوره نیز قابل توجه است و بر نیاز سازمان ها به داشتن محصولات امنیتی که نه تنها می توانند بدافزارها را شناسایی کنند، تأکید می کند. همچنین تشخیص دهد که آیا ابزارهای قانونی به طور بالقوه استفاده می شوند یا خیر به صورت مشکوک یا بدخواهانه.»
سیمانتک به CA بی نام مورد نظر اطلاع داده است تا از این فعالیت مطلع شود، اما Gorman از ارائه جزئیات بیشتر در مورد پاسخ یا تلاش های اصلاحی خودداری کرد.
در حالی که تاکنون هیچ نشانهای مبنی بر اینکه این گروه توانسته است گواهیهای دیجیتال واقعی را به خطر بیندازد، وجود ندارد، این محقق توصیه میکند، «شرکتها باید آگاه باشند که اگر عوامل تهدید بتوانند به مقامات گواهی دسترسی پیدا کنند، بدافزارها میتوانند با گواهیهای معتبر امضا شوند.»
او میگوید به طور کلی، سازمانها باید یک استراتژی دفاعی عمیق را اتخاذ کنند و از فناوریهای تشخیص، حفاظت و سختسازی متعدد برای کاهش خطر در هر نقطه از زنجیره حمله احتمالی استفاده کنند.
گورمن خاطرنشان کرد: "سیمانتک همچنین اجرای ممیزی و کنترل مناسب استفاده از حساب اداری را توصیه می کند." ما همچنین پیشنهاد میکنیم پروفایلهای استفاده را برای ابزارهای مدیریت ایجاد کنید، زیرا بسیاری از این ابزارها توسط مهاجمان برای حرکت به صورت غیرقابل شناسایی در شبکه استفاده میشوند. در کل، احراز هویت چند عاملی (MFA) می تواند به محدود کردن سودمندی اعتبارنامه های به خطر افتاده کمک کند.