Handleiding voor militaire tanks, Zero-Day Anchor 2017 Laatste cyberaanval in Oekraïne

Een onbekende bedreigingsacteur richtte zich eind 2023 op overheidsinstanties in Oekraïne met behulp van een oude Microsoft Office Remote Code Execution (RCE)-exploit uit 2017 (CVE-2017-8570) als initiële vector en militaire voertuigen als lokmiddel.

De bedreigingsacteur startte de aanval met behulp van een kwaadaardig PowerPoint-bestand (.PPSX) dat als bijlage werd verzonden via een bericht op het beveiligde berichtenplatform Signal. Dit bestand, dat zich voordeed als een oude handleiding van het Amerikaanse leger voor het opruimen van mijnen voor tanks, had in feite een externe relatie met een extern script dat werd gehost op een Russisch virtual private server (VPS) providerdomein dat werd beschermd door Cloudflare.

Het script voerde de CVE-2017-8570-exploit uit om RCE te bereiken, volgens een Deep Instinct-blogpost over de aanval deze week, in een poging informatie te stelen.

Onder de motorkap van een lastige cyberaanval

Op technisch vlak deed het verhulde script zich voor als Cisco AnyConnect APN-configuratie en was het verantwoordelijk voor het instellen van de persistentie, het decoderen en het opslaan van de ingebedde payload op schijf, wat in verschillende fasen gebeurde om detectie te omzeilen.

De payload omvat een loader/packer dynamic link bibliotheek (DLL) genaamd “vpn.sessings” die een Cobalt Strike Beacon in het geheugen laadt en wacht op instructies van de command-and-control (C2) server van de aanvaller.

Mark Vaitzman, teamleider van het Threat Lab bij Deep Instinct, merkt op dat de penetratietesttool Cobalt Strike zeer vaak gebruikt onder bedreigingsactoren, maar dit specifieke baken maakt gebruik van een aangepaste lader die afhankelijk is van verschillende technieken die de analyse vertragen.

“Het wordt voortdurend bijgewerkt om aanvallers een eenvoudige manier te bieden om lateraal te bewegen zodra de initiële voetafdruk is ingesteld”, zegt hij. “[En] het werd geïmplementeerd in verschillende anti-analyse- en unieke ontwijkingstechnieken.”

Vaitzman merkt op dat er in 2022 een ernstige CVE werd gevonden die RCE mogelijk maakte in Cobalt Strike – en veel onderzoekers voorspelden dat bedreigingsactoren de tool zouden veranderen om open source-alternatieven te creëren.

“Er zijn verschillende gekraakte versies te vinden op ondergrondse hackforums”, zegt hij.

Naast de aangepaste versie van Cobalt Strike, zegt hij, valt de campagne ook op door de moeite waarmee de bedreigingsactoren voortdurend proberen hun bestanden en activiteiten te vermommen als een legitiem, routinematig besturingssysteem en algemene applicatiebewerkingen, om verborgen te blijven en de controle te behouden. van geïnfecteerde machines zo lang mogelijk te behouden. In deze campagne, zegt hij, hebben de aanvallers dit meegenomen ‘leven van het land’-strategie verder.

“Deze aanvalscampagne toont verschillende vermommingstechnieken en een slimme manier van doorzetten die nog niet is gedocumenteerd”, legt hij uit, zonder details prijs te geven.

Cyberthreat Group heeft merk en model onbekend

Oekraïne is het doelwit door meerdere dreigingsactoren bij meerdere gelegenheden tijdens de oorlog met Rusland, met de Zandworm Groep fungeert als de belangrijkste cyberaanvaleenheid van de agressor.

Maar in tegenstelling tot de meeste aanvalscampagnes tijdens de oorlog kon het team van het dreigingslaboratorium deze inspanning niet koppelen aan een bekende dreigingsgroep, wat erop zou kunnen wijzen dat dit het werk is van een nieuwe groep of vertegenwoordiger van een volledig geüpgradede toolset van een bekende dreiging. acteur.

Mayuresh Dani, manager van beveiligingsonderzoek bij Qualys Threat Research Unit, wijst erop dat het gebruik van geografisch uiteenlopende bronnen om de dreigingsactoren te helpen attributie te ontkrachten, het ook moeilijk maakt voor beveiligingsteams om gerichte bescherming te bieden op basis van geografische locaties.

“Het voorbeeld werd geüpload vanuit Oekraïne, de tweede fase werd gehost en geregistreerd bij een Russische VPS-provider, en het Cobalt-baken [C2] werd geregistreerd in Warschau, Polen”, legt hij uit.

Hij zegt dat wat hij het meest interessant vond aan de aanvalsketen, was dat het aanvankelijke compromis tot stand kwam via de beveiligde Signal-app.

"De Signaalboodschapper wordt grotendeels gebruikt door op veiligheid gericht personeel of degenen die betrokken zijn bij het delen van clandestiene informatie, zoals journalisten”, merkt hij op.

Verbeter uw cyberpantser met beveiligingsbewustzijn en patchbeheer

Vaitzman zegt dat, omdat de meeste cyberaanvallen beginnen met phishing of het lokken van links via e-mails of berichten, het bredere cyberbewustzijn van medewerkers een belangrijke rol speelt bij het beperken van dergelijke aanvalspogingen.

En voor beveiligingsteams: “We raden ook aan om te scannen op de aanwezige IoC’s in het netwerk, en ervoor te zorgen dat Office is gepatcht naar de nieuwste versie”, zegt Vaitzman.

Callie Guenther, senior manager cyberdreigingsonderzoek bij Critical Start, zegt dat vanuit defensieperspectief de afhankelijkheid van oudere exploits ook het belang van robuuste patchbeheersystemen benadrukt.

“Bovendien onderstreept de verfijning van de aanval de behoefte aan geavanceerde detectiemechanismen die verder gaan op handtekeningen gebaseerde cyberdefensiebenaderingen”, zegt ze, “waarbij gedrag en detectie van afwijkingen worden geïntegreerd om gewijzigde kwaadaardige software te identificeren.”

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/cyberattacks-data-breaches/military-tank-manual-zero-day-ukraine-cyberattack