Podręcznik czołgu wojskowego, Kotwica Zero-Day 2017. Najnowszy cyberatak na Ukrainę

Nieznany ugrupowanie zagrażające zaatakowało podmioty rządowe na Ukrainie pod koniec 2023 r., wykorzystując starego exploita do zdalnego wykonywania kodu (RCE) pakietu Microsoft Office z 2017 r. (CVE-2017-8570) jako wektor początkowy i pojazdy wojskowe jako przynęta.

Osoba zagrażająca zainicjowała atak, wykorzystując złośliwy plik PowerPoint (.PPSX) wysłany jako załącznik w wiadomości na platformie bezpiecznego przesyłania wiadomości Signal. Plik ten, udający starą instrukcję obsługi armii amerykańskiej dotyczącą ostrzy do usuwania min do czołgów, w rzeczywistości miał zdalny związek z zewnętrznym skryptem hostowanym w rosyjskiej domenie dostawcy wirtualnego prywatnego serwera (VPS) chronionej przez Cloudflare.

Według a. Skrypt wykonał exploita CVE-2017-8570 w celu osiągnięcia RCE Wpis na blogu Głęboki Instynkt w tym tygodniu podczas ataku mającego na celu kradzież informacji.

Pod maską podstępnego cyberataku

Jeśli chodzi o szczegóły techniczne, zaciemniony skrypt udawał konfigurację Cisco AnyConnect APN i był odpowiedzialny za ustawienie trwałości, dekodowanie i zapisanie osadzonego ładunku na dysku, co odbyło się w kilku etapach, aby uniknąć wykrycia.

Ładunek zawiera bibliotekę ładującą/pakującą (DLL) o nazwie „vpn.sessings”, która ładuje sygnał Cobalt Strike Beacon do pamięci i oczekuje na instrukcje od serwera dowodzenia i kontroli (C2) atakującego.

Mark Vaitzman, lider zespołu laboratorium zagrożeń w Deep Instinct, zauważa, że ​​narzędzie do testów penetracyjnych Cobalt Strike jest bardzo powszechnie stosowane wśród aktorów zagrażających, ale ten konkretny sygnalizator korzysta z niestandardowego modułu ładującego, który opiera się na kilku technikach spowalniających analizę.

„Jest stale aktualizowany, aby zapewnić atakującym prosty sposób poruszania się w bok po ustaleniu początkowego zasięgu” – mówi. „[I] został on zaimplementowany w kilku technikach przeciwdziałających analizie i unikalnych technikach unikania.”

Vaitzman zauważa, że ​​w 2022 r. w Cobalt Strike wykryto poważny CVE umożliwiający RCE — a wielu badaczy przewidywało, że podmioty zagrażające zmienią narzędzie, aby stworzyć alternatywy typu open source.

„Na forach poświęconych hakerom można znaleźć kilka złamanych wersji” – mówi.

Mówi, że poza ulepszoną wersją Cobalt Strike kampania jest również godna uwagi ze względu na intensywność, z jaką cyberprzestępcy nieustannie próbują maskować swoje pliki i działania jako legalne, rutynowe operacje systemu operacyjnego i typowych aplikacji, aby pozostać w ukryciu i zachować kontrolę zainfekowanych maszyn tak długo, jak to możliwe. Mówi, że w tej kampanii napastnicy to zabrali strategia „życia z ziemi”. dalej.

„Ta kampania ataków ukazuje kilka technik maskowania i sprytny sposób utrzymywania się, który nie został jeszcze udokumentowany” – wyjaśnia, nie ujawniając szczegółów.

Grupa Cyberthreat ma nieznaną markę i model

Celem była Ukraina przez wiele podmiotów zagrażających przy wielu okazjach podczas wojny z Rosją, z Grupa Sandwormów służąc jako główna jednostka cyberataku agresora.

Jednak w przeciwieństwie do większości kampanii ataków podczas wojny, zespół laboratorium zagrożeń nie był w stanie powiązać tych wysiłków z żadną znaną grupą zagrożeń, co może wskazywać, że jest to dzieło nowej grupy lub przedstawiciela w pełni ulepszonego zestawu narzędzi znanego zagrożenia aktor.

Mayuresh Dani, kierownik ds. badań nad bezpieczeństwem w jednostce Qualys Threat Research Unit, zwraca uwagę, że wykorzystywanie źródeł odmiennych geograficznie, aby pomóc podmiotom zagrażającym w rozwikłaniu kwestii przypisania zagrożeń, utrudnia także zespołom ds. bezpieczeństwa zapewnienie ukierunkowanej ochrony na podstawie lokalizacji geograficznych.

„Próbka została przesłana z Ukrainy, drugi etap był hostowany i zarejestrowany u rosyjskiego dostawcy VPS, a sygnalizator Cobalt Beacon [C2] został zarejestrowany w Warszawie w Polsce” – wyjaśnia.

Mówi, że najbardziej interesujące w łańcuchu ataków było to, że początkowy kompromis został osiągnięty za pośrednictwem bezpiecznej aplikacji Signal.

"The Komunikator sygnału jest w dużej mierze używany przez personel zajmujący się bezpieczeństwem lub osoby zaangażowane w udostępnianie tajnych informacji, np. dziennikarze” – zauważa.

Wzmocnij cyberpancerz dzięki świadomości bezpieczeństwa i zarządzaniu poprawkami

Vaitzman twierdzi, że ponieważ większość cyberataków rozpoczyna się od phishingu lub przyciągania linków za pośrednictwem e-maili lub wiadomości, szersza świadomość cybernetyczna pracowników odgrywa ważną rolę w ograniczaniu takich prób ataków.

Zespołom ds. bezpieczeństwa zalecamy także przeskanowanie sieci w poszukiwaniu dostarczonych IoC i upewnienie się, że pakiet Office jest wyposażony w najnowszą wersję” – mówi Vaitzman.

Callie Guenther, starsza menedżerka ds. badań nad zagrożeniami cybernetycznymi w firmie Critical Start, twierdzi, że z punktu widzenia obronności poleganie na starszych exploitach również podkreśla znaczenie niezawodnych systemów zarządzania poprawkami.

„Dodatkowo wyrafinowanie ataku podkreśla potrzebę stosowania zaawansowanych mechanizmów wykrywania, które wykraczają poza to podejścia do cyberobrony oparte na sygnaturach„”, mówi, „obejmuje wykrywanie zachowań i anomalii w celu identyfikacji zmodyfikowanego złośliwego oprogramowania”.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/cyberattacks-data-breaches/military-tank-manual-zero-day-ukraine-cyberattack