מדריך טנק צבאי, 2017 Zero-Day Anchor מתקפת הסייבר האחרונה באוקראינה

מדריך טנק צבאי, 2017 Zero-Day Anchor מתקפת הסייבר האחרונה באוקראינה

חותמת זמן: 26 באפריל 2024 9:45
Military Tank Manual, 2017 Zero-Day Anchor Latest Ukraine Cyberattack PlatoBlockchain Data Intelligence. Vertical Search. Ai.

שחקן איום לא ידוע כיוון לישויות ממשלתיות באוקראינה לקראת סוף 2023 באמצעות ניצול ישן של ביצוע קוד מרחוק של Microsoft Office (RCE) משנת 2017 (CVE-2017-8570) בתור הווקטור הראשוני וכלי רכב צבאיים בתור הפיתוי.

שחקן האיום יזם את המתקפה באמצעות קובץ PowerPoint זדוני (.PPSX) שנשלח כקובץ מצורף באמצעות הודעה בפלטפורמת העברת הודעות מאובטחת Signal. לקובץ הזה, שהתחזה למדריך הוראות ישן על ידי צבא ארה"ב עבור להבים לפינוי מוקשים עבור טנקים, היה למעשה קשר מרחוק לסקריפט חיצוני המתארח בדומיין של ספק שרת וירטואלי פרטי (VPS) רוסי המוגן על ידי Cloudflare.

הסקריפט ביצע את הניצול CVE-2017-8570 להשגת RCE, על פי פוסט בבלוג של Deep Instinct על המתקפה השבוע, במאמץ לגנוב מידע.

מתחת למכסה המנוע של מתקפת סייבר מסובכת

מבחינת הטכניקה הטכנית, התסריט המעורפל התחזה לתצורת Cisco AnyConnect APN והיה אחראי על הגדרת התמדה, פענוח ושמירת המטען המוטבע בדיסק, מה שקרה בכמה שלבים כדי להתחמק מזיהוי.

המטען כולל ספריית קישורים דינמיים של טוען/אורז (DLL) בשם "vpn.sessings" שטוענת Cobalt Strike Beacon לזיכרון וממתינה להוראות משרת הפקודה והשליטה (C2) של התוקף.

מארק ויצמן, ראש צוות מעבדת איומים ב-Deep Instinct, מציין שכלי בדיקת החדירה Cobalt Strike הוא נפוץ מאוד בקרב שחקני איומים, אבל המשואה הספציפית הזו עושה שימוש בטעינה מותאמת אישית המסתמכת על מספר טכניקות שמאטות את הניתוח.

"זה מתעדכן באופן רציף כדי לספק לתוקפים דרך פשוטה לנוע לרוחב לאחר הגדרת טביעת הרגל הראשונית", הוא אומר. "[וגם] זה יושם בכמה טכניקות אנטי-אנליזה וטכניקות התחמקות ייחודיות."

ויצמן מציין כי בשנת 2022, CVE חמור המאפשר RCE נמצא ב-Cobalt Strike - וחוקרים רבים חזו שגורמי איומים ישנו את הכלי ליצירת חלופות קוד פתוח.

"ניתן למצוא כמה גרסאות פיצוץ בפורומי פריצה מחתרתיים", הוא אומר.

מעבר לגרסה המצומצמת של Cobalt Strike, הוא אומר, הקמפיין בולט גם לאורכים שאליהם מנסים שחקני האיום ללא הרף להסוות את הקבצים והפעילות שלהם כמערכת הפעלה לגיטימית, שגרתית ופעולות יישומים נפוצות, כדי להישאר מוסתרים ולשמור על השליטה של מכונות נגועות זמן רב ככל האפשר. בקמפיין הזה, הוא אומר, התוקפים לקחו את זה אסטרטגיית "לחיות מהאדמה". נוסף.

"קמפיין ההתקפה הזה מראה כמה טכניקות התחפושות ודרך התמדה חכמה שעדיין לא תועדה", הוא מסביר, מבלי לחשוף פרטים.

לקבוצת Cybertreat יש מותג ודגם לא ידועים

אוקראינה הייתה ממוקדת על ידי מספר רב של גורמי איומים בהזדמנויות מרובות במהלך מלחמתה עם רוסיה, עם ה קבוצת תולעי חול משמשת כיחידת התקפות הסייבר העיקרית של התוקפן.

אבל שלא כמו ברוב מסעות התקיפה במהלך המלחמה, צוות מעבדת האיומים לא יכול היה לקשר את המאמץ הזה לאף קבוצת איומים ידועה, מה שעשוי להצביע על כך שזו עבודה של קבוצה חדשה או נציגה של סט כלים משודרג לחלוטין של איום ידוע. שַׂחְקָן.

Mayuresh Dani, מנהל מחקר אבטחה ביחידת המחקר האיומים של Qualys, מציין את השימוש במקורות שונים מבחינה גיאוגרפית כדי לעזור לגורמי האיום להפיג ייחוס גם מקשה על צוותי אבטחה לספק הגנה ממוקדת על סמך מיקומים גיאוגרפיים.

"הדגימה הועלתה מאוקראינה, השלב השני התארח ונרשם תחת ספק VPS רוסי, ומשואה Cobalt [C2] נרשמה בוורשה, פולין", הוא מסביר.

הוא אומר שמה שהכי מעניין אותו בשרשרת ההתקפה היה שהפשרה הראשונית הושגה באמצעות אפליקציית Signal המאובטחת.

Messenger האותות שימש במידה רבה על ידי צוותים ממוקדי אבטחה או כאלה שמעורבים בשיתוף מידע חשאי, כמו עיתונאים", הוא מציין.

Beef Up Cyber ​​Armor עם מודעות לאבטחה, ניהול תיקונים

ויצמן אומר שמכיוון שרוב התקפות הסייבר מתחילות בדיוג או פיתוי קישורים באמצעות מיילים או הודעות, למודעות הסייבר הרחבה יותר של העובדים יש תפקיד חשוב בהפחתת ניסיונות התקפה כאלה.

ולצוותי אבטחה, "אנו ממליצים גם לסרוק את ה-IoCs שסופקו ברשת, כמו גם לוודא ש-Office תוקן לגרסה העדכנית ביותר", אומר וייצמן.

Callie Guenther, מנהלת בכירה של חקר איומי סייבר ב-Critical Start, אומרת שמנקודת המבט הביטחונית, ההסתמכות על ניצולים ישנים מדגישה גם את החשיבות של מערכות ניהול טלאים חזקות.

"בנוסף, התחכום של המתקפה מדגיש את הצורך במנגנוני זיהוי מתקדמים שחורגים גישות הגנת סייבר מבוססות חתימות", היא אומרת, "משלבת התנהגות וזיהוי חריגות לזיהוי תוכנות זדוניות שהשתנו".

בול זמן:

עוד מ קריאה אפלה