שחקן איום לא ידוע כיוון לישויות ממשלתיות באוקראינה לקראת סוף 2023 באמצעות ניצול ישן של ביצוע קוד מרחוק של Microsoft Office (RCE) משנת 2017 (CVE-2017-8570) בתור הווקטור הראשוני וכלי רכב צבאיים בתור הפיתוי.
שחקן האיום יזם את המתקפה באמצעות קובץ PowerPoint זדוני (.PPSX) שנשלח כקובץ מצורף באמצעות הודעה בפלטפורמת העברת הודעות מאובטחת Signal. לקובץ הזה, שהתחזה למדריך הוראות ישן על ידי צבא ארה"ב עבור להבים לפינוי מוקשים עבור טנקים, היה למעשה קשר מרחוק לסקריפט חיצוני המתארח בדומיין של ספק שרת וירטואלי פרטי (VPS) רוסי המוגן על ידי Cloudflare.
הסקריפט ביצע את הניצול CVE-2017-8570 להשגת RCE, על פי פוסט בבלוג של Deep Instinct על המתקפה השבוע, במאמץ לגנוב מידע.
מתחת למכסה המנוע של מתקפת סייבר מסובכת
מבחינת הטכניקה הטכנית, התסריט המעורפל התחזה לתצורת Cisco AnyConnect APN והיה אחראי על הגדרת התמדה, פענוח ושמירת המטען המוטבע בדיסק, מה שקרה בכמה שלבים כדי להתחמק מזיהוי.
המטען כולל ספריית קישורים דינמיים של טוען/אורז (DLL) בשם "vpn.sessings" שטוענת Cobalt Strike Beacon לזיכרון וממתינה להוראות משרת הפקודה והשליטה (C2) של התוקף.
מארק ויצמן, ראש צוות מעבדת איומים ב-Deep Instinct, מציין שכלי בדיקת החדירה Cobalt Strike הוא נפוץ מאוד בקרב שחקני איומים, אבל המשואה הספציפית הזו עושה שימוש בטעינה מותאמת אישית המסתמכת על מספר טכניקות שמאטות את הניתוח.
"זה מתעדכן באופן רציף כדי לספק לתוקפים דרך פשוטה לנוע לרוחב לאחר הגדרת טביעת הרגל הראשונית", הוא אומר. "[וגם] זה יושם בכמה טכניקות אנטי-אנליזה וטכניקות התחמקות ייחודיות."
ויצמן מציין כי בשנת 2022, CVE חמור המאפשר RCE נמצא ב-Cobalt Strike - וחוקרים רבים חזו שגורמי איומים ישנו את הכלי ליצירת חלופות קוד פתוח.
"ניתן למצוא כמה גרסאות פיצוץ בפורומי פריצה מחתרתיים", הוא אומר.
מעבר לגרסה המצומצמת של Cobalt Strike, הוא אומר, הקמפיין בולט גם לאורכים שאליהם מנסים שחקני האיום ללא הרף להסוות את הקבצים והפעילות שלהם כמערכת הפעלה לגיטימית, שגרתית ופעולות יישומים נפוצות, כדי להישאר מוסתרים ולשמור על השליטה של מכונות נגועות זמן רב ככל האפשר. בקמפיין הזה, הוא אומר, התוקפים לקחו את זה אסטרטגיית "לחיות מהאדמה". נוסף.
"קמפיין ההתקפה הזה מראה כמה טכניקות התחפושות ודרך התמדה חכמה שעדיין לא תועדה", הוא מסביר, מבלי לחשוף פרטים.
לקבוצת Cybertreat יש מותג ודגם לא ידועים
אוקראינה הייתה ממוקדת על ידי מספר רב של גורמי איומים בהזדמנויות מרובות במהלך מלחמתה עם רוסיה, עם ה קבוצת תולעי חול משמשת כיחידת התקפות הסייבר העיקרית של התוקפן.
אבל שלא כמו ברוב מסעות התקיפה במהלך המלחמה, צוות מעבדת האיומים לא יכול היה לקשר את המאמץ הזה לאף קבוצת איומים ידועה, מה שעשוי להצביע על כך שזו עבודה של קבוצה חדשה או נציגה של סט כלים משודרג לחלוטין של איום ידוע. שַׂחְקָן.
Mayuresh Dani, מנהל מחקר אבטחה ביחידת המחקר האיומים של Qualys, מציין את השימוש במקורות שונים מבחינה גיאוגרפית כדי לעזור לגורמי האיום להפיג ייחוס גם מקשה על צוותי אבטחה לספק הגנה ממוקדת על סמך מיקומים גיאוגרפיים.
"הדגימה הועלתה מאוקראינה, השלב השני התארח ונרשם תחת ספק VPS רוסי, ומשואה Cobalt [C2] נרשמה בוורשה, פולין", הוא מסביר.
הוא אומר שמה שהכי מעניין אותו בשרשרת ההתקפה היה שהפשרה הראשונית הושגה באמצעות אפליקציית Signal המאובטחת.
"ה Messenger האותות שימש במידה רבה על ידי צוותים ממוקדי אבטחה או כאלה שמעורבים בשיתוף מידע חשאי, כמו עיתונאים", הוא מציין.
Beef Up Cyber Armor עם מודעות לאבטחה, ניהול תיקונים
ויצמן אומר שמכיוון שרוב התקפות הסייבר מתחילות בדיוג או פיתוי קישורים באמצעות מיילים או הודעות, למודעות הסייבר הרחבה יותר של העובדים יש תפקיד חשוב בהפחתת ניסיונות התקפה כאלה.
ולצוותי אבטחה, "אנו ממליצים גם לסרוק את ה-IoCs שסופקו ברשת, כמו גם לוודא ש-Office תוקן לגרסה העדכנית ביותר", אומר וייצמן.
Callie Guenther, מנהלת בכירה של חקר איומי סייבר ב-Critical Start, אומרת שמנקודת המבט הביטחונית, ההסתמכות על ניצולים ישנים מדגישה גם את החשיבות של מערכות ניהול טלאים חזקות.
"בנוסף, התחכום של המתקפה מדגיש את הצורך במנגנוני זיהוי מתקדמים שחורגים גישות הגנת סייבר מבוססות חתימות", היא אומרת, "משלבת התנהגות וזיהוי חריגות לזיהוי תוכנות זדוניות שהשתנו".
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/cyberattacks-data-breaches/military-tank-manual-zero-day-ukraine-cyberattack
- :יש ל
- :הוא
- :לֹא
- $ למעלה
- 2017
- 2022
- 2023
- 7
- a
- אודות
- מושלם
- פי
- להשיג
- פעילות
- שחקנים
- בנוסף
- מתקדם
- גם
- לשנות
- חלופות
- בין
- an
- אנליזה
- עוגן
- ו
- גילוי חריגות
- כל
- האפליקציה
- יישומים
- ARE
- צָבָא
- AS
- At
- לתקוף
- תוקף
- ניסיון
- ניסיונות
- מודעות
- מבוסס
- BE
- משואה
- כי
- בשר בקר
- היה
- התנהגות
- מעבר
- בלוג
- רחב
- אבל
- by
- מבצע
- קמפיינים
- CAN
- שרשרת
- סיסקו
- CloudFlare
- קובלט
- קוד
- Common
- בדרך כלל
- פשרה
- ברציפות
- לִשְׁלוֹט
- סדוק
- לִיצוֹר
- קריטי
- מנהג
- Cve
- סייבר
- התקפת סייבר
- התקפות רשת
- פענוח
- עמוק
- גופי בטחון
- פרטים
- איתור
- קשה
- שונה
- תחום
- מטה
- בְּמַהֲלָך
- דינמי
- מאמץ
- מיילים
- מוטבע
- עובד
- סוף
- ישויות
- בריחה
- התחמקות
- יצא לפועל
- הוצאת להורג
- מסביר
- לנצל
- מעללים
- חיצוני
- עובדה
- שלח
- קבצים
- עָקֵב
- בעד
- פורומים
- מצא
- החל מ-
- לגמרי
- נוסף
- גיאוגרפי
- גיאוגרפית
- Go
- ממשלה
- גופים ממשלתיים
- קְבוּצָה
- פריצה
- היה
- he
- לעזור
- ברדס
- אירח
- HTTPS
- לזהות
- יושם
- חשיבות
- חשוב
- in
- כולל
- שילוב
- להצביע
- נגוע
- מידע
- בתחילה
- יזם
- הוראות
- מעניין
- אל תוך
- מעורב
- IT
- שֶׁלָה
- עיתונאים
- jpg
- ידוע
- מעבדה
- מדינה
- במידה רבה
- האחרון
- מנהיג
- לגיטימי
- סִפְרִיָה
- קשר
- חי
- מטעין
- המון
- מקומות
- ארוך
- מכונה
- לתחזק
- לעשות
- עושה
- עשייה
- זדוני
- ניהול
- מנהל
- מדריך ל
- רב
- מסכות
- מאי..
- מנגנוני
- זכרון
- הודעה
- הודעות
- הודעות
- Messenger
- מיקרוסופט
- צבאי
- מקלה
- מודל
- שונים
- רוב
- המהלך
- מספר
- צורך
- רשת
- חדש
- ניסט
- יַקִיר
- הערות
- הזדמנויות
- of
- כבוי
- Office
- זקן
- מבוגר
- on
- פעם
- לפתוח
- קוד פתוח
- תפעול
- or
- OS
- הַחוּצָה
- מסוים
- תיקון
- חֲדִירָה
- התמדה
- כוח אדם
- פרספקטיבה
- דיוג
- פלטפורמה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- משחק
- נקודות
- פולין
- אפשרי
- חזה
- יְסוֹדִי
- פְּרָטִי
- מוּגָן
- .
- לספק
- ובלבד
- ספק
- להמליץ
- רשום
- קשר
- הסתמכות
- מסתמך
- להשאר
- מרחוק
- נציג
- מחקר
- חוקרים
- אחראי
- חָסוֹן
- תפקיד
- רוסיה
- רוסי
- s
- לִטעוֹם
- חסכת
- אומר
- סריקה
- תסריט
- שְׁנִיָה
- לבטח
- אבטחה
- מודעות ביטחונית
- לחצני מצוקה לפנסיונרים
- נשלח
- שרת
- הגשה
- סט
- הצבה
- כמה
- קשה
- שיתוף
- היא
- הופעות
- לאותת
- פָּשׁוּט
- להאט
- חכם
- תוכנה
- תִחכּוּם
- מָקוֹר
- מקורות
- התמחות
- שלבים
- התחלה
- לגנוב
- להכות
- כזה
- בטוח
- מערכות
- טנק
- טנקים
- ממוקד
- נבחרת
- צוותי
- טכני
- טכניקות
- מונחים
- בדיקות
- זֶה
- השמיים
- שֶׁלָהֶם
- זֶה
- השבוע
- אלה
- איום
- איום שחקנים
- דרך
- ל
- לקח
- כלי
- לקראת
- אוקראינה
- תחת
- תת קרקעי
- מתחת
- קו תחתון
- ייחודי
- יחידה
- לא ידוע
- בניגוד
- מְעוּדכָּן
- משודרג
- נטען
- us
- צבא ארה"ב
- להשתמש
- מְשׁוּמָשׁ
- באמצעות
- כלי רכב
- גרסה
- גירסאות
- באמצעות
- וירטואלי
- VPN
- מִלחָמָה
- ורשה
- היה
- דֶרֶך..
- we
- שבוע
- טוֹב
- מה
- אשר
- מי
- עם
- לְלֹא
- תיק עבודות
- היה
- עוד
- זפירנט