Manual de Tanque Militar, Âncora de Dia Zero 2017, Último Ataque Cibernético na Ucrânia

Um ator de ameaça desconhecido teve como alvo entidades governamentais na Ucrânia no final de 2023 usando uma antiga exploração de execução remota de código (RCE) do Microsoft Office de 2017 (CVE-2017-8570) como vetor inicial e veículos militares como isca.

O ator da ameaça iniciou o ataque usando um arquivo PowerPoint malicioso (.PPSX) enviado como anexo por meio de uma mensagem na plataforma segura de mensagens Signal. Este arquivo, disfarçado como um antigo manual de instruções do Exército dos EUA para lâminas de remoção de minas para tanques, tinha na verdade uma relação remota com um script externo hospedado em um domínio de provedor de servidor virtual privado (VPS) russo protegido pela Cloudflare.

O script executou a exploração CVE-2017-8570 para obter RCE, de acordo com um Postagem do blog Instinto Profundo no ataque desta semana, em um esforço para roubar informações.

Sob o capô de um ataque cibernético complicado

Em termos de detalhes técnicos, o script ofuscado se mascarava como configuração do Cisco AnyConnect APN e era responsável por definir a persistência, decodificar e salvar a carga útil incorporada no disco, o que acontecia em vários estágios para evitar a detecção.

A carga útil inclui uma biblioteca de link dinâmico (DLL) de carregador/packer chamada “vpn.sessings” que carrega um Cobalt Strike Beacon na memória e aguarda instruções do servidor de comando e controle (C2) do invasor.

Mark Vaitzman, líder da equipe do laboratório de ameaças da Deep Instinct, observa que a ferramenta de teste de penetração Cobalt Strike é muito comumente usado entre agentes de ameaças, mas esse beacon específico utiliza um carregador personalizado que depende de diversas técnicas que retardam a análise.

“Ele é atualizado continuamente para fornecer aos invasores uma maneira simples de se mover lateralmente assim que a área inicial for definida”, diz ele. “[E] foi implementado em diversas técnicas de anti-análise e evasão exclusivas.”

Vaitzman observa que em 2022, um CVE grave permitindo RCE foi encontrado no Cobalt Strike – e muitos pesquisadores previram que os atores da ameaça alterariam a ferramenta para criar alternativas de código aberto.

“Várias versões crackeadas podem ser encontradas em fóruns clandestinos de hackers”, diz ele.

Além da versão aprimorada do Cobalt Strike, diz ele, a campanha também é notável pela extensão com que os atores da ameaça tentam continuamente mascarar seus arquivos e atividades como um sistema operacional legítimo e rotineiro e operações de aplicativos comuns, para permanecerem ocultos e manterem o controle. de máquinas infectadas pelo maior tempo possível. Nesta campanha, diz ele, os agressores aproveitaram esta Estratégia de “viver da terra” ainda mais.

“Esta campanha de ataque mostra diversas técnicas de mascaramento e uma forma inteligente de persistência que ainda não foi documentada”, explica, sem divulgar detalhes.

Grupo de ameaças cibernéticas tem marca e modelo desconhecidos

A Ucrânia foi alvo por vários atores de ameaças em várias ocasiões durante a guerra com a Rússia, com o Grupo Sandworm servindo como a principal unidade de ataque cibernético do agressor.

Mas, diferentemente da maioria das campanhas de ataque durante a guerra, a equipe do laboratório de ameaças não conseguiu vincular esse esforço a nenhum grupo de ameaça conhecido, o que pode indicar que este é o trabalho de um novo grupo ou representativo de um conjunto de ferramentas totalmente atualizado de uma ameaça conhecida. ator.

Mayuresh Dani, gerente de pesquisa de segurança da Unidade de Pesquisa de Ameaças Qualys, aponta que o uso de fontes geograficamente díspares para ajudar os atores da ameaça a dissipar a atribuição também torna difícil para as equipes de segurança fornecer proteção direcionada com base em localizações geográficas.

“A amostra foi carregada da Ucrânia, a segunda etapa foi hospedada e registrada em um provedor VPS russo, e o farol Cobalt [C2] foi registrado em Varsóvia, na Polônia”, explica ele.

Ele diz que o que achou mais interessante na cadeia de ataque foi que o comprometimento inicial foi realizado por meio do aplicativo seguro Signal.

"O O Signal Messenger tem sido amplamente utilizado por pessoal focado em segurança ou aqueles que estão envolvidos no compartilhamento de informações clandestinas, como jornalistas”, observa.

Reforça a armadura cibernética com conscientização sobre segurança e gerenciamento de patches

Vaitzman diz que, como a maioria dos ataques cibernéticos começa com phishing ou atração de links por meio de e-mails ou mensagens, a conscientização cibernética mais ampla dos funcionários desempenha um papel importante na mitigação de tais tentativas de ataque.

E para as equipes de segurança, “também recomendamos verificar os IoCs fornecidos na rede, bem como garantir que o Office esteja atualizado para a versão mais recente”, diz Vaitzman.

Callie Guenther, gerente sênior de pesquisa de ameaças cibernéticas da Critical Start, afirma que, do ponto de vista da defesa, a dependência de explorações mais antigas também enfatiza a importância de sistemas robustos de gerenciamento de patches.

“Além disso, a sofisticação do ataque sublinha a necessidade de mecanismos avançados de detecção que vão além abordagens de defesa cibernética baseadas em assinaturas”, diz ela, “incorporando comportamento e detecção de anomalias para identificar software malicioso modificado”.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/cyberattacks-data-breaches/military-tank-manual-zero-day-ukraine-cyberattack