Grupul de atac cibernetic sponsorizat de stat, cunoscut sub numele de Billbug, a reușit să compromită o autoritate de certificare digitală (CA) ca parte a unei campanii ample de spionaj care s-a întins încă din luna martie - o dezvoltare îngrijorătoare în manualul de amenințare avansată persistentă (APT), avertizează cercetătorii.
Certificatele digitale sunt fișiere care sunt utilizate pentru a semna software-ul ca fiind valid și pentru a verifica identitatea unui dispozitiv sau utilizator pentru a activa conexiunile criptate. Ca atare, un compromis CA ar putea duce la o legiune de atacuri ulterioare ascunse.
„Direcționarea unei autorități de certificare este notabilă, ca și cum atacatorii ar fi putut să o compromită cu succes pentru a accesa certificate, ar putea să le folosească pentru a semna malware cu un certificat valid și să o ajute să evite detectarea pe mașinile victimei”, potrivit datelor. un raport săptămâna aceasta de la Symantec. „Ar putea folosi, de asemenea, certificate compromise pentru a intercepta traficul HTTPS.”
„Acest lucru este potențial foarte periculos”, au remarcat cercetătorii.
Un val continuu de compromisuri cibernetice
Billbug (alias Lotus Blossom sau Thrip) este un grup de spionaj din China care vizează în principal victimele din Asia de Sud-Est. Este cunoscut pentru vânătoarea de vânătoare mari, adică pentru a urmări secretele deținute de organizațiile militare, entitățile guvernamentale și furnizorii de comunicații. Uneori, lansează o plasă mai largă, sugerând motivații mai întunecate: într-un caz trecut, s-a infiltrat într-un operator aerospațial pentru a infecta computerele care monitorizează și controlează mișcările sateliților.
În cea mai recentă serie de activități nefaste, APT a lovit un panteon de agenții guvernamentale și de apărare din întreaga Asia, într-un caz infestând „un număr mare de mașini” dintr-o rețea guvernamentală cu malware personalizat.
„Această campanie a fost în desfășurare cel puțin din martie 2022 până în septembrie 2022 și este posibil ca această activitate să fie în desfășurare”, spune Brigid O Gorman, analist senior de informații la Symantec Threat Hunter Team. „Billbug este un grup de amenințări de lungă durată care a desfășurat mai multe campanii de-a lungul anilor. Este posibil ca această activitate să se extindă la alte organizații sau zone geografice, deși Symantec nu are nicio dovadă în acest sens în acest moment.”
O abordare familiară a atacurilor cibernetice
La acele ținte, precum și la CA, vectorul de acces inițial a fost exploatarea aplicațiilor vulnerabile, destinate publicului. După ce au dobândit capacitatea de a executa cod, actorii amenințărilor continuă să instaleze ușile din spate Hannotog sau Sagerunex personalizate cunoscute înainte de a pătrunde mai adânc în rețele.
Pentru etapele ulterioare ale lanțului de ucidere, atacatorii Billbug folosesc mai multe binare care trăiesc din teren (LoLBins), cum ar fi AdFind, Certutil, NBTscan, Ping, Port Scanner, Route, Tracert, Winmail și WinRAR, conform raportului Symantec.
Aceste instrumente legitime pot fi abuzate pentru diferite utilizări de tip doppelganger, cum ar fi interogarea Active Directory pentru a mapa o rețea, fișierele ZIP pentru exfiltrare, descoperirea căilor între punctele finale, scanarea NetBIOS și porturi și instalarea certificatelor rădăcină a browserului - ca să nu mai vorbim de descărcarea de programe malware suplimentare. .
Ușile din spate personalizate combinate cu instrumente cu dublă utilizare reprezintă o amprentă familiară, care a fost folosită de APT în trecut. Dar lipsa de îngrijorare cu privire la expunerea publicului este egal pentru cursul pentru grup.
„Este de remarcat faptul că Billbug pare să nu fie descurajat de posibilitatea de a-i fi atribuită această activitate, reutilizand instrumente care au fost legate de grup în trecut”, spune Gorman.
Ea adaugă: „Folosirea intensă de către grup a vieții din pământ și a instrumentelor cu dublă utilizare este, de asemenea, notabilă și subliniază necesitatea ca organizațiile să aibă produse de securitate care nu numai că pot detecta malware, dar pot de asemenea, recunoașteți dacă instrumentele legitime sunt potențial utilizate într-un mod suspect sau rău intenționat.”
Symantec a notificat CA fără nume în cauză pentru a o informa cu privire la activitate, dar Gorman a refuzat să ofere detalii suplimentare cu privire la răspunsul sau eforturile de remediere.
Deși până acum nu există nicio indicație că grupul a putut continua să compromită certificatele digitale reale, cercetătorul sfătuiește: „Întreprinderile ar trebui să fie conștiente de faptul că programele malware ar putea fi semnate cu certificate valide dacă actorii amenințărilor sunt capabili să obțină acces la autoritățile de certificare”.
În general, organizațiile ar trebui să adopte o strategie de apărare în profunzime, folosind tehnologii multiple de detectare, protecție și întărire pentru a atenua riscul în fiecare punct al unui potențial lanț de atac, spune ea.
„Symantec va sfătui, de asemenea, implementarea unui audit și control adecvat al utilizării contului administrativ”, a menționat Gorman. „Sugerăm, de asemenea, crearea de profiluri de utilizare pentru instrumentele de administrare, deoarece multe dintre aceste instrumente sunt folosite de atacatori pentru a se deplasa lateral nedetectați printr-o rețea. În general, autentificarea multifactor (MFA) poate ajuta la limitarea utilității acreditărilor compromise.”
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
