Militær tankhåndbok, 2017 Zero-Day Anchor Siste Ukraina Cyberangrep

En ukjent trusselaktør siktet mot offentlige enheter i Ukraina mot slutten av 2023 ved å bruke en gammel Microsoft Office ekstern kjøring av kode (RCE) fra 2017 (CVE-2017-8570) som den første vektoren og militære kjøretøyer som lokken.

Trusselaktøren startet angrepet ved å bruke en ondsinnet PowerPoint-fil (.PPSX) sendt som et vedlegg via en melding på den sikre meldingsplattformen Signal. Denne filen, som ble utformet som en gammel instruksjonsmanual av den amerikanske hæren for minerydningsblader for stridsvogner, hadde faktisk et eksternt forhold til et eksternt skript hostet på et russisk virtual private server (VPS)-leverandørdomene beskyttet av Cloudflare.

Skriptet utførte CVE-2017-8570-utnyttelsen for å oppnå RCE, ifølge en Deep Instinct blogginnlegg på angrepet denne uken, i et forsøk på å stjele informasjon.

Under panseret på et vanskelig cyberangrep

Når det gjelder det tekniske, nøkternt, maskerte det obfuskerte skriptet seg som Cisco AnyConnect APN-konfigurasjon og var ansvarlig for å angi persistens, dekoding og lagre den innebygde nyttelasten til disken, noe som skjedde i flere stadier for å unngå gjenkjenning.

Nyttelasten inkluderer et loader/packer dynamic link library (DLL) kalt "vpn.sessings" som laster et Cobalt Strike Beacon inn i minnet og venter på instruksjoner fra kommando-og-kontroll-serveren (C2) til angriperen.

Mark Vaitzman, teamleder for trussellab ved Deep Instinct, bemerker at penetrasjonstestverktøyet Cobalt Strike er svært vanlig brukt blant trusselaktører, men denne spesielle beaconen bruker en tilpasset laster som er avhengig av flere teknikker som bremser analysen.

"Den oppdateres kontinuerlig for å gi angripere en enkel måte å bevege seg sideveis når det første fotavtrykket er satt," sier han. "[Og] det ble implementert i flere anti-analyse og unike unnvikelsesteknikker."

Vaitzman bemerker at i 2022 ble det funnet en alvorlig CVE som tillot RCE i Cobalt Strike - og mange forskere spådde at trusselaktører ville endre verktøyet for å lage åpen kildekode-alternativer.

"Flere crackede versjoner kan bli funnet på underjordiske hackingfora," sier han.

Utover den finjusterte versjonen av Cobalt Strike, sier han, er kampanjen også kjent for lengden som trusselaktørene kontinuerlig forsøker å maskere filene og aktivitetene sine som et legitimt, rutinemessig operativsystem og vanlige applikasjonsoperasjoner, for å forbli skjult og opprettholde kontrollen. av infiserte maskiner så lenge som mulig. I denne kampanjen, sier han, tok angriperne dette «leve av landet»-strategi ytterligere.

"Denne angrepskampanjen viser flere maskeringsteknikker og en smart måte å utholde på som ikke er dokumentert ennå," forklarer han uten å røpe detaljer.

Cybertreat Group har ukjent merke og modell

Ukraina har vært mål av flere trusselaktører ved flere anledninger under krigen med Russland, med Sandormgruppen fungerer som angriperens primære enhet for nettangrep.

Men i motsetning til de fleste angrepskampanjer under krigen, kunne ikke trussellabteamet knytte denne innsatsen til noen kjent trusselgruppe, noe som kan indikere at dette er arbeidet til en ny gruppe eller representant for et fullt oppgradert verktøysett for en kjent trussel skuespiller.

Mayuresh Dani, leder for sikkerhetsforskning ved Qualys Threat Research Unit, påpeker bruken av geografisk forskjellige kilder for å hjelpe trusselaktørene med å fjerne attribusjon, og gjør det også vanskelig for sikkerhetsteam å gi målrettet beskyttelse basert på geografiske steder.

"Eksemplet ble lastet opp fra Ukraina, den andre fasen ble hostet og registrert under en russisk VPS-leverandør, og Cobalt beacon [C2] ble registrert i Warszawa, Polen," forklarer han.

Han sier at det han fant mest interessant med angrepskjeden var at det første kompromisset ble oppnådd via den sikre Signal-appen.

"The Signal messenger har i stor grad blitt brukt av sikkerhetsfokusert personell eller de som er involvert i å dele hemmelig informasjon, for eksempel journalister,» bemerker han.

Beef Up Cyber ​​Armor med sikkerhetsbevissthet, patchhåndtering

Vaitzman sier at fordi de fleste cyberangrep starter med phishing eller lenkelokking via e-post eller meldinger, spiller bredere cyberbevissthet hos ansatte en viktig rolle i å redusere slike angrepsforsøk.

Og for sikkerhetsteam, "Vi anbefaler også å skanne etter de oppgitte IoC-ene i nettverket, samt sørge for at Office er lappet til den nyeste versjonen," sier Vaitzman.

Callie Guenther, seniorleder for cybertrusselforskning ved Critical Start, sier at fra et forsvarsperspektiv understreker avhengigheten av eldre utnyttelser også viktigheten av robuste oppdateringsstyringssystemer.

«I tillegg understreker det sofistikerte angrepet behovet for avanserte deteksjonsmekanismer som går utover signaturbaserte cyberforsvarstilnærminger," sier hun, "som inkluderer atferd og avviksdeteksjon for å identifisere modifisert skadelig programvare."

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/cyberattacks-data-breaches/military-tank-manual-zero-day-ukraine-cyberattack