Den statsstøttede cyberangrepsgruppen kjent som Billbug klarte å kompromittere en digital sertifikatmyndighet (CA) som en del av en omfattende spionasjekampanje som strakte seg tilbake til mars – en bekymringsfull utvikling i den avanserte vedvarende trusselen (APT), advarer forskere.
Digitale sertifikater er filer som brukes til å signere programvare som gyldig, og bekrefte identiteten til en enhet eller bruker for å aktivere krypterte tilkoblinger. Som sådan kan et CA-kompromiss føre til en legion av snikende oppfølgingsangrep.
"Målrettingen av en sertifiseringsinstans er bemerkelsesverdig, som om angriperne var i stand til å kompromittere den for å få tilgang til sertifikater, kunne de potensielt bruke dem til å signere skadevare med et gyldig sertifikat, og hjelpe den med å unngå oppdagelse på offermaskiner," ifølge en rapport denne uken fra Symantec. "Det kan også potensielt bruke kompromitterte sertifikater for å avskjære HTTPS-trafikk."
"Dette er potensielt veldig farlig," bemerket forskerne.
En pågående bølge av cyberkompromisser
Billbug (aka Lotus Blossom eller Thrip) er en Kina-basert spionasjegruppe som hovedsakelig retter seg mot ofre i Sørøst-Asia. Det er kjent for storviltjakt - dvs. å gå etter hemmelighetene som holdes av militære organisasjoner, statlige enheter og kommunikasjonsleverandører. Noen ganger kaster den et bredere nett, og antyder mørkere motivasjoner: I et tidligere tilfelle infiltrerte den en romfartsoperatør for å infisere datamaskinene som overvåker og kontrollerer bevegelsene til satellitter.
I den siste kjøringen av ondsinnet aktivitet, traff APT et pantheon av regjerings- og forsvarsbyråer over hele Asia, og i ett tilfelle infiserte "et stort antall maskiner" på et statlig nettverk med tilpasset skadelig programvare.
"Denne kampanjen pågikk fra minst mars 2022 til september 2022, og det er mulig denne aktiviteten kan pågå," sier Brigid O Gorman, senior etterretningsanalytiker ved Symantec Threat Hunter Team. "Billbug er en veletablert trusselgruppe som har gjennomført flere kampanjer gjennom årene. Det er mulig at denne aktiviteten kan utvides til flere organisasjoner eller geografier, selv om Symantec ikke har noen bevis for det for øyeblikket.»
En kjent tilnærming til cyberangrep
Ved disse målene så vel som ved CA har den første tilgangsvektoren vært utnyttelse av sårbare, offentlige applikasjoner. Etter å ha fått muligheten til å utføre kode, fortsetter trusselaktørene med å installere sine kjente, tilpassede Hannotog- eller Sagerunex-bakdører før de graver seg dypere inn i nettverk.
For de senere drapskjedestadiene bruker Billbug-angripere flere living-off-the-land binærfiler (LoLBins), slik som AdFind, Certutil, NBTscan, Ping, Port Scanner, Route, Tracert, Winmail og WinRAR, ifølge Symantecs rapport.
Disse legitime verktøyene kan misbrukes til ulike doppelganger-bruk, som å spørre Active Directory for å kartlegge et nettverk, ZIP-filer for eksfiltrering, avdekke stier mellom endepunkter, skanning av NetBIOS og porter, og installere nettleserrotsertifikater – for ikke å nevne nedlasting av ytterligere skadelig programvare .
De tilpassede bakdørene kombinert med verktøy for dobbeltbruk er et kjent fotavtrykk, etter å ha blitt brukt av APT tidligere. Men mangelen på bekymring for offentlig eksponering er det par for kurset for gruppen.
"Det er bemerkelsesverdig at Billbug ser ut til å ikke være avskrekket av muligheten for å få denne aktiviteten tilskrevet seg, med den gjenbruke verktøy som har vært knyttet til gruppen tidligere," sier Gorman.
Hun legger til, «Konsernets tunge bruk av å leve av land og verktøy for dobbeltbruk er også bemerkelsesverdig, og understreker behovet for organisasjoner å ha på plass sikkerhetsprodukter som ikke bare kan oppdage skadelig programvare, men som kan også gjenkjenne om legitime verktøy potensielt blir brukt på en mistenkelig eller ondsinnet måte."
Symantec har varslet den aktuelle ikke-navngitte CA for å informere den om aktiviteten, men Gorman nektet å gi ytterligere detaljer om responsen eller utbedringsarbeidet.
Selv om det så langt ikke er noen indikasjoner på at gruppen var i stand til å gå på kompromiss med faktiske digitale sertifikater, anbefaler forskeren, "Bedrifter bør være klar over at skadevare kan signeres med gyldige sertifikater hvis trusselaktører er i stand til å oppnå tilgang til sertifiseringsmyndigheter."
Generelt bør organisasjoner ta i bruk en dybdeforsvarsstrategi, ved å bruke flere gjenkjennings-, beskyttelses- og herdeteknologier for å redusere risikoen på hvert punkt i en potensiell angrepskjede, sier hun.
"Symantec vil også anbefale å implementere riktig revisjon og kontroll av administrativ kontobruk," bemerket Gorman. "Vi vil også foreslå å opprette bruksprofiler for administrasjonsverktøy siden mange av disse verktøyene brukes av angripere for å bevege seg sideveis uoppdaget gjennom et nettverk. Over hele linjen kan multifaktorautentisering (MFA) bidra til å begrense nytten av kompromitterte legitimasjon.»
