Un acteur malveillant inconnu a ciblé des entités gouvernementales en Ukraine vers la fin de l'année 2023 à l'aide d'un ancien exploit d'exécution de code à distance (RCE) de Microsoft Office datant de 2017 (CVE-2017-8570) comme vecteur initial et les véhicules militaires comme leurre.
L'auteur de la menace a lancé l'attaque à l'aide d'un fichier PowerPoint malveillant (.PPSX) envoyé en pièce jointe via un message sur la plateforme de messagerie sécurisée Signal. Ce fichier, qui se faisait passer pour un ancien manuel d'instructions de l'armée américaine pour les lames de déminage pour chars, avait en fait une relation distante avec un script externe hébergé sur un domaine de fournisseur de serveur privé virtuel (VPS) russe protégé par Cloudflare.
Le script a exécuté l'exploit CVE-2017-8570 pour atteindre RCE, selon un Article de blog Deep Instinct sur l'attaque cette semaine, dans le but de voler des informations.
Sous le capot d’une cyberattaque délicate
En termes de détails techniques, le script obscurci se faisait passer pour une configuration Cisco AnyConnect APN et était responsable de la définition de la persistance, du décodage et de la sauvegarde de la charge utile intégrée sur le disque, ce qui s'est produit en plusieurs étapes pour échapper à la détection.
La charge utile comprend une bibliothèque de liens dynamiques (DLL) de chargeur/packer nommée « vpn.sessings » qui charge une balise Cobalt Strike en mémoire et attend les instructions du serveur de commande et de contrôle (C2) de l'attaquant.
Mark Vaitzman, chef d'équipe du laboratoire de menaces chez Deep Instinct, note que l'outil de test d'intrusion Cobalt Strike est très couramment utilisé par les acteurs de la menace, mais cette balise particulière utilise un chargeur personnalisé qui s'appuie sur plusieurs techniques qui ralentissent l'analyse.
« Il est continuellement mis à jour pour fournir aux attaquants un moyen simple de se déplacer latéralement une fois l'empreinte initiale définie », explique-t-il. "[Et] il a été mis en œuvre dans plusieurs techniques d'anti-analyse et d'évasion uniques."
Vaitzman note qu'en 2022, un CVE grave permettant le RCE a été découvert dans Cobalt Strike – et de nombreux chercheurs ont prédit que les acteurs malveillants modifieraient l'outil pour créer des alternatives open source.
« Plusieurs versions crackées peuvent être trouvées sur des forums de piratage clandestins », dit-il.
Au-delà de la version peaufinée de Cobalt Strike, dit-il, la campagne est également remarquable par la longueur avec laquelle les acteurs de la menace tentent continuellement de faire passer leurs fichiers et leurs activités comme des opérations légitimes et routinières du système d'exploitation et des applications courantes, pour rester cachés et maintenir le contrôle. des machines infectées le plus longtemps possible. Dans cette campagne, dit-il, les attaquants ont pris ce Stratégie « vivre de la terre » en outre.
"Cette campagne d'attaque fait appel à plusieurs techniques de masquage et à une manière intelligente de persister qui n'a pas encore été documentée", explique-t-il, sans divulguer de détails.
Le groupe de cybermenace a une marque et un modèle inconnus
L'Ukraine a été prise pour cible par plusieurs acteurs menaçants à plusieurs reprises au cours de sa guerre avec la Russie, avec le Groupe de vers des sables servant de principale unité de cyberattaque de l’agresseur.
Mais contrairement à la plupart des campagnes d'attaque menées pendant la guerre, l'équipe du laboratoire de menaces n'a pas pu relier cet effort à un groupe de menace connu, ce qui peut indiquer qu'il s'agit du travail d'un nouveau groupe ou d'un représentant d'un ensemble d'outils entièrement mis à niveau d'une menace connue. acteur.
Mayuresh Dani, responsable de la recherche sur la sécurité chez Qualys Threat Research Unit, souligne que l'utilisation de sources géographiquement disparates pour aider les acteurs de la menace à dissiper les attributions rend également difficile pour les équipes de sécurité de fournir une protection ciblée basée sur les emplacements géographiques.
"L'échantillon a été téléchargé depuis l'Ukraine, la deuxième étape a été hébergée et enregistrée auprès d'un fournisseur VPS russe, et la balise Cobalt [C2] a été enregistrée à Varsovie, en Pologne", explique-t-il.
Il dit que ce qu'il a trouvé le plus intéressant dans la chaîne d'attaque, c'est que la compromission initiale a été réalisée via l'application sécurisée Signal.
« Le Le messager de signal a été largement utilisé par le personnel chargé de la sécurité ou ceux qui participent au partage d’informations clandestines, comme les journalistes », note-t-il.
Renforcez la cyberarmure grâce à la sensibilisation à la sécurité et à la gestion des correctifs
Vaitzman affirme que, étant donné que la plupart des cyberattaques commencent par du phishing ou du leurre de liens via des e-mails ou des messages, une sensibilisation plus large des employés à la cybersécurité joue un rôle important dans l'atténuation de ces tentatives d'attaque.
Et pour les équipes de sécurité : « Nous recommandons également de rechercher les IoC fournis sur le réseau, ainsi que de nous assurer qu'Office est équipé de la dernière version », explique Vaitzman.
Callie Guenther, directrice principale de la recherche sur les cybermenaces chez Critical Start, affirme que du point de vue de la défense, le recours à des exploits plus anciens souligne également l'importance de systèmes de gestion des correctifs robustes.
« De plus, la sophistication de l’attaque souligne la nécessité de mécanismes de détection avancés qui vont au-delà approches de cyberdéfense basées sur les signatures", dit-elle, " intégrant la détection des comportements et des anomalies pour identifier les logiciels malveillants modifiés. "
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/cyberattacks-data-breaches/military-tank-manual-zero-day-ukraine-cyberattack
- :possède
- :est
- :ne pas
- $UP
- 2017
- 2022
- 2023
- 7
- a
- Qui sommes-nous
- accompli
- Selon
- atteindre
- activité
- acteurs
- En outre
- Avancée
- aussi
- modifier
- des alternatives
- parmi
- an
- selon une analyse de l’Université de Princeton
- Présentatrice
- ainsi que les
- Détection d'une anomalie
- tous
- appli
- applications
- SONT
- Armée
- AS
- At
- attaquer
- attaquant
- tentative
- Tentatives
- basé
- BE
- pour
- car
- de bœuf
- était
- humain
- Au-delà
- Blog
- plus large
- mais
- by
- Campagne
- Campagnes
- CAN
- chaîne
- Cisco
- CloudFlare
- Cobalt
- code
- Commun
- communément
- compromis
- continuellement
- des bactéries
- fissuré
- engendrent
- critique
- Customiser
- cve
- cyber
- Cyber-attaque
- cyber-attaques
- Le décryptage
- profond
- Défense
- détails
- Détection
- difficile
- disparate
- domaine
- down
- pendant
- Dynamic
- effort
- emails
- intégré
- Employés
- fin
- entités
- éluder
- évasion
- réalisé
- exécution
- Explique
- Exploiter
- exploits
- externe
- fait
- Déposez votre dernière attestation
- Fichiers
- numérique
- Pour
- forums
- trouvé
- de
- d’étiquettes électroniques entièrement
- plus
- géographique
- géographiquement
- Go
- Gouvernement
- Entités gouvernementales
- Réservation de groupe
- piratage
- ait eu
- he
- vous aider
- capuche
- organisé
- HTTPS
- identifier
- mis en œuvre
- importance
- important
- in
- inclut
- incorporation
- indiquer
- infecté
- d'information
- initiale
- initié
- Des instructions
- intéressant
- développement
- impliqué
- IT
- SES
- Les journalistes ;
- jpg
- connu
- laboratoire
- Transport routier
- principalement
- Nouveautés
- leader
- légitime
- Bibliothèque
- LINK
- vie
- chargeur
- charges
- emplacements
- Location
- Les machines
- maintenir
- a prendre une
- FAIT DU
- Fabrication
- malveillant
- gestion
- manager
- Manuel
- de nombreuses
- mascarade
- Mai..
- mécanismes
- Mémoire
- message
- messages
- messagerie
- Messager
- Microsoft
- Militaire
- atténuer
- modèle
- modifié
- (en fait, presque toutes)
- Bougez
- plusieurs
- Besoin
- réseau et
- Nouveauté
- nist
- notable
- Notes
- occasions
- of
- de rabais
- Bureaux
- Vieux
- plus
- on
- une fois
- ouvert
- open source
- Opérations
- or
- OS
- ande
- particulier
- Pièce
- pénétration
- persistance
- personnel
- objectifs
- phishing
- plateforme
- Platon
- Intelligence des données Platon
- PlatonDonnées
- joue
- des notes bonus
- Pologne
- possible
- prédit
- primaire
- Privé
- protégé
- protection
- fournir
- à condition de
- de voiture.
- recommander
- inscrit
- relation amoureuse
- dépendance
- repose
- rester
- éloigné
- représentant
- un article
- chercheurs
- responsables
- robuste
- Rôle
- Russie
- russe
- s
- échantillon
- économie
- dit
- balayage
- scénario
- Deuxièmement
- sécurisé
- sécurité
- Sensibilisation à la sécurité
- supérieur
- envoyé
- serveur
- service
- set
- mise
- plusieurs
- sévère
- partage
- elle
- Spectacles
- Signal
- étapes
- lent
- smart
- Logiciels
- sophistication
- Identifier
- Sources
- Étape
- étapes
- Commencer
- voler
- grève
- tel
- sûr
- Système
- réservoir
- réservoirs
- des campagnes marketing ciblées,
- équipe
- équipes
- Technique
- techniques
- conditions
- Essais
- qui
- Les
- leur
- this
- cette semaine
- ceux
- menace
- acteurs de la menace
- Avec
- à
- a
- outil
- vers
- Ukraine
- sous
- souterrain
- dessous
- soulignés
- expérience unique et authentique
- unité
- inconnu
- contrairement à
- a actualisé
- mis à jour
- téléchargé
- us
- l'armée américaine
- utilisé
- d'utiliser
- en utilisant
- Véhicules
- version
- versions
- via
- Salle de conférence virtuelle
- VPN
- guerre
- Varsovie
- était
- Façon..
- we
- semaine
- WELL
- Quoi
- qui
- WHO
- comprenant
- sans
- activités principales
- pourra
- encore
- zéphyrnet
