Руководство по военным танкам, 2017 Якорь нулевого дня Последняя кибератака на Украину

Неизвестный злоумышленник атаковал государственные учреждения в Украине в конце 2023 года, используя старый эксплойт удаленного выполнения кода Microsoft Office (RCE) 2017 года (CVE-2017-8570) в качестве исходного вектора и военная техника в качестве приманки.

Злоумышленник инициировал атаку, используя вредоносный файл PowerPoint (.PPSX), отправленный в виде вложения в сообщение на платформе безопасного обмена сообщениями Signal. Этот файл, замаскированный под старую инструкцию армии США по лезвиям для разминирования танков, на самом деле имел отдаленное отношение к внешнему скрипту, размещенному в домене провайдера российского виртуального частного сервера (VPS), защищенного Cloudflare.

Согласно сообщению, скрипт выполнил эксплойт CVE-2017-8570 для достижения RCE. Сообщение в блоге Deep Instinct о нападении на этой неделе с целью украсть информацию.

Под капотом сложной кибератаки

С технической точки зрения, запутанный сценарий маскировался под конфигурацию APN Cisco AnyConnect и отвечал за настройку постоянства, декодирование и сохранение встроенной полезной нагрузки на диск, что происходило в несколько этапов, чтобы избежать обнаружения.

Полезная нагрузка включает в себя динамическую библиотеку (DLL) загрузчика/упаковщика под названием «vpn.sessings», которая загружает Cobalt Strike Beacon в память и ожидает инструкций от сервера управления и контроля (C2) злоумышленника.

Марк Вайцман, руководитель группы угроз в Deep Instinct, отмечает, что инструмент тестирования на проникновение Cobalt Strike очень часто используется среди субъектов угроз, но этот конкретный маяк использует специальный загрузчик, который использует несколько методов, замедляющих анализ.

«Он постоянно обновляется, чтобы предоставить злоумышленникам простой способ перемещения в поперечном направлении после того, как будет установлен первоначальный след», — говорит он. «[И] это было реализовано в нескольких методах антианализа и уникальных методах уклонения».

Вайцман отмечает, что в 2022 году в Cobalt Strike была обнаружена серьезная CVE, позволяющая использовать RCE, и многие исследователи предсказывали, что злоумышленники изменят инструмент, чтобы создать альтернативы с открытым исходным кодом.

«Несколько взломанных версий можно найти на подпольных хакерских форумах», — говорит он.

По его словам, помимо измененной версии Cobalt Strike, кампания также примечательна тем, насколько долго злоумышленники постоянно пытаются замаскировать свои файлы и действия под законные, рутинные операции ОС и обычных приложений, чтобы оставаться скрытыми и сохранять контроль. зараженных машин как можно дольше. В этой кампании, по его словам, нападавшие воспользовались этим стратегия «жизни за счет земли» дальше.

«Эта атака демонстрирует несколько техник маскировки и хитрый способ настойчивости, который еще не был задокументирован», — объясняет он, не раскрывая подробностей.

Группа киберугроз имеет неизвестную марку и модель

Украина стала мишенью со стороны нескольких субъектов угрозы неоднократно во время войны с Россией, с Группа песчаных червей выступая в качестве основного подразделения кибератак агрессора.

Но в отличие от большинства атак во время войны, команда лаборатории угроз не смогла связать эти усилия с какой-либо известной группой угроз, что может указывать на то, что это работа новой группы или представителя полностью обновленного набора инструментов известной угрозы. актер.

Маюреш Дэни, менеджер по исследованиям безопасности в Qualys Threat Research Unit, отмечает, что использование географически разрозненных источников, чтобы помочь злоумышленникам рассеять атрибуцию, также затрудняет для групп безопасности обеспечение целевой защиты на основе географического местоположения.

«Образец был загружен из Украины, второй этап был размещен и зарегистрирован под российским VPS-провайдером, а маяк Cobalt [C2] был зарегистрирован в Варшаве, Польша», — объясняет он.

Он говорит, что наиболее интересным в цепочке атаки ему показалось то, что первоначальный взлом был осуществлен через защищенное приложение Signal.

" Мессенджер сигналов в основном используется персоналом, отвечающим за безопасность. или тех, кто участвует в обмене секретной информацией, например журналистов», — отмечает он.

Усиление киберзащиты за счет осведомленности о безопасности и управления исправлениями

Вайцман говорит, что, поскольку большинство кибератак начинаются с фишинга или переманивания ссылок через электронные письма или сообщения, более широкая осведомленность сотрудников о кибербезопасности играет важную роль в смягчении таких попыток атак.

А командам безопасности: «Мы также рекомендуем сканировать предоставленные IoC в сети, а также убедиться, что Office обновлен до последней версии», — говорит Вайцман.

Кэлли Гюнтер, старший менеджер по исследованию киберугроз в Critical Start, говорит, что с точки зрения защиты использование старых эксплойтов также подчеркивает важность надежных систем управления исправлениями.

«Кроме того, сложность атаки подчеркивает необходимость в усовершенствованных механизмах обнаружения, выходящих за рамки Подходы к киберзащите на основе сигнатур«», — говорит она, — «включая обнаружение поведения и аномалий для выявления модифицированного вредоносного программного обеспечения».

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/cyberattacks-data-breaches/military-tank-manual-zero-day-ukraine-cyberattack