De door de staat gesponsorde cyberaanvalgroep, bekend als Billbug, slaagde erin een digitale certificeringsinstantie (CA) te compromitteren als onderdeel van een brede spionagecampagne die terugging tot maart - een zorgwekkende ontwikkeling in het playbook Advanced Persistent Threat (APT), waarschuwen onderzoekers.
Digitale certificaten zijn bestanden die worden gebruikt om software als geldig te ondertekenen en de identiteit van een apparaat of gebruiker te verifiรซren om versleutelde verbindingen mogelijk te maken. Als zodanig kan een CA-compromis leiden tot een legioen sluipende vervolgaanvallen.
"Het doelwit van een certificeringsinstantie is opmerkelijk, alsof de aanvallers in staat waren om deze met succes te compromitteren om toegang te krijgen tot certificaten, ze deze mogelijk zouden kunnen gebruiken om malware met een geldig certificaat te ondertekenen en te helpen detectie op slachtoffermachines te voorkomen", aldus een rapport deze week van Symantec. "Het kan mogelijk ook gecompromitteerde certificaten gebruiken om HTTPS-verkeer te onderscheppen."
"Dit is potentieel zeer gevaarlijk", merkten de onderzoekers op.
Een aanhoudende golf van cyber-compromises
Billbug (ook bekend als Lotus Blossom of Thrip) is een in China gevestigde spionagegroep die zich vooral richt op slachtoffers in Zuidoost-Aziรซ. Het staat bekend om de jacht op groot wild, dwz het achtervolgen van de geheimen van militaire organisaties, overheidsinstanties en communicatieproviders. Soms werpt het een breder net uit, wat duidt op duisterder motieven: in een eerder geval infiltreerde het een ruimtevaartoperator om de computers te infecteren die de bewegingen van satellieten volgen en besturen.
In de laatste reeks van snode activiteiten trof de APT een pantheon van overheids- en defensie-instanties in heel Aziรซ, waarbij in รฉรฉn geval "een groot aantal machines" op een overheidsnetwerk werd geรฏnfecteerd met zijn aangepaste malware.
"Deze campagne liep van ten minste maart 2022 tot september 2022, en het is mogelijk dat deze activiteit aan de gang is", zegt Brigid O Gorman, senior intelligence-analist bij Symantec Threat Hunter Team. โBillbug is een gevestigde dreigingsgroep die in de loop der jaren meerdere campagnes heeft uitgevoerd. Het is mogelijk dat deze activiteit zich uitbreidt naar andere organisaties of regio's, hoewel Symantec daar op dit moment geen bewijs voor heeft."
Een vertrouwde benadering van cyberaanvallen
Zowel bij die doelen als bij de CA was de eerste toegangsvector de exploitatie van kwetsbare, openbare applicaties. Nadat ze de mogelijkheid hebben gekregen om code uit te voeren, installeren de bedreigingsactoren hun bekende, aangepaste Hannotog- of Sagerunex-backdoors voordat ze dieper in netwerken graven.
Voor de latere kill-chain-fasen gebruiken Billbug-aanvallers meerdere leven-van-het-land binaries (LoLBins), zoals AdFind, Certutil, NBTscan, Ping, Port Scanner, Route, Tracert, Winmail en WinRAR, volgens het rapport van Symantec.
Deze legitieme tools kunnen worden misbruikt voor verschillende doeleinden door dubbelgangers, zoals het doorzoeken van Active Directory om een โโnetwerk in kaart te brengen, bestanden te ZIP-en voor exfiltratie, het blootleggen van paden tussen eindpunten, het scannen van NetBIOS en poorten, en het installeren van rootcertificaten van browsers, om nog maar te zwijgen van het downloaden van extra malware. .
De op maat gemaakte backdoors in combinatie met tools voor tweeรซrlei gebruik is een bekende voetafdruk, die in het verleden door de APT is gebruikt. Maar het gebrek aan bezorgdheid over publieke blootstelling is dat wel par voor de cursus voor de groep.
"Het is opmerkelijk dat Billbug zich niet laat afschrikken door de mogelijkheid dat deze activiteit eraan wordt toegeschreven, waarbij het tools hergebruikt die in het verleden aan de groep zijn gekoppeld", zegt Gorman.
Ze voegt eraan toe: โHet sterke gebruik van het leven van het land en tools voor tweeรซrlei gebruik door de groep is ook opmerkelijk, en onderstreept de noodzaak voor organisaties om beveiligingsproducten te hebben die niet alleen malware kunnen detecteren, maar ook herkennen ook of er mogelijk legitieme tools worden gebruikt op een verdachte of kwaadaardige manier.โ
Symantec heeft de naamloze CA in kwestie op de hoogte gebracht om deze op de hoogte te stellen van de activiteit, maar Gorman weigerde verdere details te geven over zijn reactie of herstelpogingen.
Hoewel er tot nu toe geen aanwijzingen zijn dat de groep in staat was daadwerkelijke digitale certificaten te compromitteren, adviseert de onderzoeker: "Bedrijven moeten zich ervan bewust zijn dat malware kan worden ondertekend met geldige certificaten als aanvallers toegang kunnen krijgen tot certificeringsinstanties."
Over het algemeen zouden organisaties een diepgaande verdedigingsstrategie moeten toepassen, waarbij ze meerdere detectie-, beschermings- en beveiligingstechnologieรซn moeten gebruiken om de risico's op elk punt van een potentiรซle aanvalsketen te beperken, zegt ze.
"Symantec zou ook adviseren om een โโgoede audit en controle van het gebruik van administratieve accounts te implementeren", merkte Gorman op. โWe raden ook aan om gebruiksprofielen voor beheertools te maken, aangezien veel van deze tools door aanvallers worden gebruikt om zich zijdelings onopgemerkt door een netwerk te verplaatsen. Over de hele linie kan multifactor-authenticatie (MFA) helpen om het nut van gecompromitteerde inloggegevens te beperken.โ
