Military Tank Manual, 2017 Zero-Day Anchor Uusin Ukrainan kyberhyökkäys

Tuntematon uhkatekijä hyökkäsi valtion yksiköihin Ukrainassa vuoden 2023 lopulla käyttämällä vanhaa Microsoft Officen etäkoodin suorittamisen (RCE) hyväksikäyttöä vuodelta 2017 (CVE-2017-8570) alkuvektorina ja sotilasajoneuvot vieheenä.

Uhkatekijä aloitti hyökkäyksen käyttämällä haitallista PowerPoint-tiedostoa (.PPSX), joka lähetettiin liitteenä viestin kautta suojatussa viestintäalustassa Signal. Tällä tiedostolla, joka naamioitui vanhaksi Yhdysvaltain armeijan panssarivaunujen miinanraivausterien ohjekirjaksi, oli itse asiassa etäyhteys ulkoiseen komentosarjaan, jota isännöi Cloudflaren suojaama venäläinen virtuaalisen yksityisen palvelimen (VPS) toimialue.

Komentosarja suoritti CVE-2017-8570-hyödynnyksen saavuttaakseen RCE:n Deep Instinct -blogipostaus hyökkäyksessä tällä viikolla yrittäessään varastaa tietoja.

Hankalan kyberhyökkäyksen konepellin alla

Teknisiltä osin hämärtynyt skripti naamioitui Cisco AnyConnect APN -kokoonpanoksi ja vastasi pysyvyyden asettamisesta, dekoodauksesta ja upotetun hyötykuorman tallentamisesta levylle, mikä tapahtui useissa vaiheissa havaitsemisen välttämiseksi.

Hyötykuorma sisältää lataajan/pakkaajan dynaamisen linkkikirjaston (DLL), jonka nimi on "vpn.sessings", joka lataa Cobalt Strike Beaconin muistiin ja odottaa ohjeita hyökkääjän komento- ja ohjauspalvelimelta (C2).

Mark Vaitzman, Deep Instinctin uhkalaboratorion johtaja, huomauttaa, että tunkeutumistestaustyökalu Cobalt Strike on käytetään hyvin yleisesti uhkatekijöiden keskuudessa, mutta tämä majakka käyttää mukautettua latausohjelmaa, joka perustuu useisiin tekniikoihin, jotka hidastavat analysointia.

"Se päivitetään jatkuvasti, jotta hyökkääjät voivat helposti liikkua sivusuunnassa, kun alkuperäinen jalanjälki on asetettu", hän sanoo. "[Ja] se otettiin käyttöön useissa anti-analyysin ja ainutlaatuisissa kiertotekniikoissa."

Vaitzman huomauttaa, että vuonna 2022 Cobalt Strikessa löydettiin vakava CVE, joka salli RCE:n – ja monet tutkijat ennustivat, että uhkatoimijat muuttavat työkalua avoimen lähdekoodin vaihtoehtojen luomiseksi.

"Useita krakattuja versioita löytyy maanalaisista hakkerointifoorumeilta", hän sanoo.

Hänen mukaansa Cobalt Striken muokatun version lisäksi kampanja on huomattava myös siitä, kuinka pitkälle uhkatoimijat yrittävät jatkuvasti naamioida tiedostojaan ja toimintaansa laillisiksi, rutiinikäyttöisiksi käyttöjärjestelmiksi ja yleisiksi sovellustoiminnoiksi pysyäkseen piilossa ja ylläpitääkseen hallintaa. tartunnan saaneista koneista mahdollisimman pitkään. Hän sanoo, että tässä kampanjassa hyökkääjät ottivat tämän "eläminen maasta" -strategia edelleen.

"Tämä hyökkäyskampanja näyttää useita naamiointitekniikoita ja älykästä sinnikkyyttä, jota ei ole vielä dokumentoitu", hän selittää paljastamatta yksityiskohtia.

Cyberthreat Groupilla on tuntematon merkki ja malli

Ukraina on joutunut kohteena useat uhkatoimijat useaan otteeseen sen sodan aikana Venäjän kanssa Sandworm ryhmä toimii hyökkääjän ensisijaisena kyberhyökkäysyksikkönä.

Mutta toisin kuin useimmissa sodan aikaisissa hyökkäyskampanjoissa, uhkalaboratorioryhmä ei voinut yhdistää tätä yritystä mihinkään tunnettuun uhkaryhmään, mikä saattaa viitata siihen, että kyseessä on uuden ryhmän työ tai tunnetun uhan täysin päivitetyn työkalusarjan edustaja. näyttelijä.

Mayuresh Dani, Qualys Threat Research Unit -yksikön turvallisuustutkimuksen johtaja, huomauttaa, että maantieteellisesti erilaisten lähteiden käyttö auttaa uhkatekijöitä hajottamaan tekijöitä, mikä vaikeuttaa myös turvallisuustiimien mahdollisuuksia tarjota kohdennettua suojausta maantieteellisen sijainnin perusteella.

"Näyte ladattiin Ukrainasta, toinen vaihe isännöi ja rekisteröitiin venäläisen VPS-palveluntarjoajan alaisuudessa ja Cobalt-majakka [C2] rekisteröitiin Varsovassa, Puolassa", hän selittää.

Hän sanoo pitäneensä mielenkiintoisinta hyökkäysketjussa, että alkuperäinen kompromissi saavutettiin suojatun Signal-sovelluksen kautta.

" Signal Messenger on ollut suurelta osin turvallisuuteen keskittyneen henkilöstön käytössä tai ne, jotka ovat mukana salaisen tiedon jakamisessa, kuten toimittajat”, hän huomauttaa.

Tehostettu kyberpanssari tietoturvatietoisuudella, korjaustiedostojen hallinta

Vaitzman sanoo, että koska useimmat kyberhyökkäykset alkavat tietojenkalastelulla tai linkkien houkuttelemalla sähköpostien tai viestien kautta, työntekijöiden laajemmalla kybertietoisuudella on tärkeä rooli tällaisten hyökkäysyritysten lieventämisessä.

Ja tietoturvatiimeille: "Suosittelemme myös tarkistamaan verkon toimitetut IoC:t ja varmistamaan, että Office on korjattu uusimpaan versioon", Vaitzman sanoo.

Callie Guenther, Critical Startin kyberuhkien tutkimuksesta vastaava johtaja, sanoo, että puolustusnäkökulmasta katsottuna vanhempiin hyväksikäyttöihin luottaminen korostaa myös vankkojen korjaustiedostojen hallintajärjestelmien merkitystä.

"Lisäksi hyökkäyksen kehittyneisyys korostaa tarvetta kehittyneille havaitsemismekanismeille, jotka menevät pidemmälle allekirjoituksiin perustuvat kyberpuolustusmenetelmät", hän sanoo, "sisältäen käyttäytymisen ja poikkeamien havaitsemisen muokatun haittaohjelmiston tunnistamiseksi."

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/cyberattacks-data-breaches/military-tank-manual-zero-day-ukraine-cyberattack