Неизвестный злоумышленник атаковал государственные учреждения в Украине в конце 2023 года, используя старый эксплойт удаленного выполнения кода Microsoft Office (RCE) 2017 года (CVE-2017-8570) в качестве исходного вектора и военная техника в качестве приманки.
Злоумышленник инициировал атаку, используя вредоносный файл PowerPoint (.PPSX), отправленный в виде вложения в сообщение на платформе безопасного обмена сообщениями Signal. Этот файл, замаскированный под старую инструкцию армии США по лезвиям для разминирования танков, на самом деле имел отдаленное отношение к внешнему скрипту, размещенному в домене провайдера российского виртуального частного сервера (VPS), защищенного Cloudflare.
Согласно сообщению, скрипт выполнил эксплойт CVE-2017-8570 для достижения RCE. Сообщение в блоге Deep Instinct о нападении на этой неделе с целью украсть информацию.
Под капотом сложной кибератаки
С технической точки зрения, запутанный сценарий маскировался под конфигурацию APN Cisco AnyConnect и отвечал за настройку постоянства, декодирование и сохранение встроенной полезной нагрузки на диск, что происходило в несколько этапов, чтобы избежать обнаружения.
Полезная нагрузка включает в себя динамическую библиотеку (DLL) загрузчика/упаковщика под названием «vpn.sessings», которая загружает Cobalt Strike Beacon в память и ожидает инструкций от сервера управления и контроля (C2) злоумышленника.
Марк Вайцман, руководитель группы угроз в Deep Instinct, отмечает, что инструмент тестирования на проникновение Cobalt Strike очень часто используется среди субъектов угроз, но этот конкретный маяк использует специальный загрузчик, который использует несколько методов, замедляющих анализ.
«Он постоянно обновляется, чтобы предоставить злоумышленникам простой способ перемещения в поперечном направлении после того, как будет установлен первоначальный след», — говорит он. «[И] это было реализовано в нескольких методах антианализа и уникальных методах уклонения».
Вайцман отмечает, что в 2022 году в Cobalt Strike была обнаружена серьезная CVE, позволяющая использовать RCE, и многие исследователи предсказывали, что злоумышленники изменят инструмент, чтобы создать альтернативы с открытым исходным кодом.
«Несколько взломанных версий можно найти на подпольных хакерских форумах», — говорит он.
По его словам, помимо измененной версии Cobalt Strike, кампания также примечательна тем, насколько долго злоумышленники постоянно пытаются замаскировать свои файлы и действия под законные, рутинные операции ОС и обычных приложений, чтобы оставаться скрытыми и сохранять контроль. зараженных машин как можно дольше. В этой кампании, по его словам, нападавшие воспользовались этим стратегия «жизни за счет земли» дальше.
«Эта атака демонстрирует несколько техник маскировки и хитрый способ настойчивости, который еще не был задокументирован», — объясняет он, не раскрывая подробностей.
Группа киберугроз имеет неизвестную марку и модель
Украина стала мишенью со стороны нескольких субъектов угрозы неоднократно во время войны с Россией, с Группа песчаных червей выступая в качестве основного подразделения кибератак агрессора.
Но в отличие от большинства атак во время войны, команда лаборатории угроз не смогла связать эти усилия с какой-либо известной группой угроз, что может указывать на то, что это работа новой группы или представителя полностью обновленного набора инструментов известной угрозы. актер.
Маюреш Дэни, менеджер по исследованиям безопасности в Qualys Threat Research Unit, отмечает, что использование географически разрозненных источников, чтобы помочь злоумышленникам рассеять атрибуцию, также затрудняет для групп безопасности обеспечение целевой защиты на основе географического местоположения.
«Образец был загружен из Украины, второй этап был размещен и зарегистрирован под российским VPS-провайдером, а маяк Cobalt [C2] был зарегистрирован в Варшаве, Польша», — объясняет он.
Он говорит, что наиболее интересным в цепочке атаки ему показалось то, что первоначальный взлом был осуществлен через защищенное приложение Signal.
" Мессенджер сигналов в основном используется персоналом, отвечающим за безопасность. или тех, кто участвует в обмене секретной информацией, например журналистов», — отмечает он.
Усиление киберзащиты за счет осведомленности о безопасности и управления исправлениями
Вайцман говорит, что, поскольку большинство кибератак начинаются с фишинга или переманивания ссылок через электронные письма или сообщения, более широкая осведомленность сотрудников о кибербезопасности играет важную роль в смягчении таких попыток атак.
А командам безопасности: «Мы также рекомендуем сканировать предоставленные IoC в сети, а также убедиться, что Office обновлен до последней версии», — говорит Вайцман.
Кэлли Гюнтер, старший менеджер по исследованию киберугроз в Critical Start, говорит, что с точки зрения защиты использование старых эксплойтов также подчеркивает важность надежных систем управления исправлениями.
«Кроме того, сложность атаки подчеркивает необходимость в усовершенствованных механизмах обнаружения, выходящих за рамки Подходы к киберзащите на основе сигнатур«», — говорит она, — «включая обнаружение поведения и аномалий для выявления модифицированного вредоносного программного обеспечения».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/cyberattacks-data-breaches/military-tank-manual-zero-day-ukraine-cyberattack
- :имеет
- :является
- :нет
- $UP
- 2017
- 2022
- 2023
- 7
- a
- О нас
- выполнено
- По
- Достигать
- деятельность
- актеры
- Дополнительно
- продвинутый
- причислены
- изменять
- альтернативы
- среди
- an
- анализ
- Ведущий
- и
- обнаружение аномалии
- любой
- приложение
- Приложения
- МЫ
- армия
- AS
- At
- атаковать
- нападающий
- попытка
- попытки
- осведомленность
- основанный
- BE
- маяк
- , так как:
- говяжий
- было
- поведение
- Beyond
- Блог
- шире
- но
- by
- Кампания
- Кампании
- CAN
- цепь
- Cisco
- CloudFlare
- Кобальт
- код
- Общий
- обычно
- скомпрометированы
- непрерывно
- контроль
- треснувший
- Создайте
- критической
- изготовленный на заказ
- CVE
- кибер-
- Кибератака
- кибератаки
- Декодирование
- глубоко
- Защита
- подробнее
- обнаружение
- трудный
- безрассудство
- домен
- вниз
- в течение
- динамический
- усилие
- Писем
- встроенный
- Сотрудник
- конец
- лиц
- Evade
- уклонение
- выполненный
- выполнение
- Объясняет
- Эксплуатировать
- использует
- и, что лучший способ
- факт
- Файл
- Файлы
- след
- Что касается
- форумы
- найденный
- от
- полностью
- далее
- географический
- географически
- Go
- Правительство
- Государственные учреждения
- группы
- взлом
- было
- he
- помощь
- капот
- состоялся
- HTTPS
- определения
- в XNUMX году
- значение
- важную
- in
- включает в себя
- включения
- указывать
- инфицированный
- информация
- начальный
- начатый
- инструкции
- интересный
- в
- вовлеченный
- IT
- ЕГО
- Журналисты
- JPG
- известный
- лаборатория
- Земля
- в значительной степени
- последний
- лидер
- законный
- Библиотека
- LINK
- жизнью
- загрузчик
- грузы
- места
- Длинное
- Продукция
- поддерживать
- сделать
- ДЕЛАЕТ
- Создание
- злонамеренный
- управление
- менеджер
- руководство
- многих
- маскарад
- Май..
- механизмы
- Память
- сообщение
- Сообщения
- обмен сообщениями
- Messenger
- Microsoft
- военный
- смягчающим
- модель
- модифицировало
- самых
- двигаться
- с разными
- Необходимость
- сеть
- Новые
- NIST
- примечательный
- Заметки
- раз
- of
- от
- Офис
- Старый
- старший
- on
- консолидировать
- открытый
- с открытым исходным кодом
- Операционный отдел
- or
- OS
- внешний
- особый
- Патчи
- проникновение
- настойчивость
- Персонал
- перспектива
- фишинг
- Платформа
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- играет
- пунктов
- Польша
- возможное
- предсказанный
- первичный
- частная
- защищенный
- защиту
- обеспечивать
- при условии
- Недвижимости
- рекомендовать
- зарегистрированный
- отношения
- опора
- полагается
- оставаться
- удаленные
- представитель
- исследованиям
- исследователи
- ответственный
- надежный
- Роли
- Россия
- русский
- s
- образец
- экономия
- говорит
- сканирование
- скрипт
- Во-вторых
- безопасный
- безопасность
- Безопасность
- старший
- послать
- сервер
- выступающей
- набор
- установка
- несколько
- тяжелый
- разделение
- она
- Шоу
- сигнал
- просто
- медленной
- умный
- Software
- утонченность
- Источник
- Источники
- Этап
- этапы
- Начало
- воровать
- удар
- такие
- Убедитесь
- системы
- бак
- танки
- целевое
- команда
- команды
- Технический
- снижения вреда
- terms
- Тестирование
- который
- Ассоциация
- их
- этой
- На этой неделе
- те
- угроза
- актеры угрозы
- Через
- в
- приняли
- инструментом
- к
- Украина
- под
- метро
- под
- нижнее подчеркивание
- созданного
- Ед. изм
- неизвестный
- В отличие от
- обновление
- повышен
- загружено
- us
- нам армия
- использование
- используемый
- через
- Транспорт
- версия
- версии
- с помощью
- Виртуальный
- VPN
- войны
- Варшава
- законопроект
- Путь..
- we
- неделя
- ЧТО Ж
- Что
- который
- КТО
- без
- Работа
- бы
- еще
- зефирнет