Исследователи предупреждают, что спонсируемая государством группа кибератак, известная как Billbug, сумела скомпрометировать центр цифровой сертификации (ЦС) в рамках широкомасштабной шпионской кампании, которая началась еще в марте.
Цифровые сертификаты — это файлы, которые используются для подписи программного обеспечения как действительного и проверки личности устройства или пользователя для включения зашифрованных соединений. Таким образом, компрометация ЦС может привести к легиону скрытых последующих атак.
«Примечательно нацеливание на центр сертификации, поскольку, если бы злоумышленники смогли успешно скомпрометировать его для доступа к сертификатам, они потенциально могли бы использовать их для подписи вредоносного ПО с помощью действительного сертификата и помочь ему избежать обнаружения на компьютерах-жертвах», — говорится в сообщении. сообщить на этой неделе от Symantec. «Он также потенциально может использовать скомпрометированные сертификаты для перехвата HTTPS-трафика».
«Это потенциально очень опасно», — отметили исследователи.
Непрекращающийся поток киберкомпрометаций
Billbug (также известный как Lotus Blossom или Thrip) — базирующаяся в Китае шпионская группа, целью которой в основном являются жертвы в Юго-Восточной Азии. Он известен охотой на крупную дичь, то есть поиском секретов, которыми владеют военные организации, правительственные учреждения и провайдеры связи. Иногда он забрасывает более широкую сеть, намекая на более темные мотивы: в одном из прошлых случаев он проник в аэрокосмического оператора, чтобы заразить компьютеры, которые отслеживают и контролируют движение спутников.
В ходе последней гнусной деятельности APT поразил пантеон правительственных и оборонных ведомств по всей Азии, в одном случае заразив «большое количество машин» в правительственной сети своим специализированным вредоносным ПО.
«Эта кампания продолжалась по крайней мере с марта 2022 года по сентябрь 2022 года, и вполне возможно, что эта деятельность может продолжаться», — говорит Бриджит О Горман, старший аналитик разведки Symantec Threat Hunter Team. «Billbug — давно зарекомендовавшая себя группа угроз, которая за эти годы провела несколько кампаний. Вполне возможно, что эта деятельность может распространиться на другие организации или регионы, хотя у Symantec на данный момент нет никаких доказательств этого».
Знакомый подход к кибератакам
В этих целях, а также в ЦС первоначальным вектором доступа было использование уязвимых общедоступных приложений. Получив возможность выполнять код, злоумышленники устанавливают свои известные, пользовательские бэкдоры Hannotog или Sagerunex, прежде чем проникнуть глубже в сети.
На более поздних этапах цепочки уничтожения злоумышленники Billbug используют несколько двоичные файлы для жизни за пределами земли (LoLBins), такие как AdFind, Certutil, NBTscan, Ping, Port Scanner, Route, Tracert, Winmail и WinRAR, согласно отчету Symantec.
Этими законными инструментами можно злоупотреблять для различных двойных целей, таких как запрос Active Directory для сопоставления сети, ZIP-файлы для эксфильтрации, раскрытие путей между конечными точками, сканирование NetBIOS и портов и установка корневых сертификатов браузера — не говоря уже о загрузке дополнительных вредоносных программ. .
Пользовательские бэкдоры в сочетании с инструментами двойного назначения — это знакомый след, который использовался APT в прошлом. Но отсутствие заботы о публичном воздействии стоимость курса для группы.
«Примечательно, что Billbug, похоже, не смущает возможность того, что эту деятельность приписывают ему, поскольку он повторно использует инструменты, которые были связаны с группой в прошлом», — говорит Горман.
Она добавляет: «Также примечательно активное использование группой инструментов двойного назначения и жизни за счет земли, что подчеркивает необходимость наличия у организаций продуктов безопасности, которые могут не только обнаруживать вредоносное ПО, но и также распознавать, потенциально ли используются законные инструменты подозрительным или злонамеренным образом».
Symantec уведомила неназванный центр сертификации, чтобы он проинформировал его об этой деятельности, но Горман отказался предоставить дополнительную информацию о своих ответных действиях или усилиях по исправлению.
Хотя пока нет никаких указаний на то, что группа смогла скомпрометировать настоящие цифровые сертификаты, исследователь советует: «Предприятия должны знать, что вредоносное ПО может быть подписано действительными сертификатами, если злоумышленники смогут получить доступ к центрам сертификации».
В целом организациям следует применять стратегию глубокоэшелонированной защиты, используя несколько технологий обнаружения, защиты и усиления защиты, чтобы снизить риск на каждом этапе потенциальной цепочки атак, говорит она.
«Symantec также рекомендует провести надлежащий аудит и контроль использования учетной записи администратора, — отметил Горман. «Мы также предлагаем создать профили использования для инструментов администрирования, поскольку многие из этих инструментов используются злоумышленниками для перемещения по сети незамеченными. Повсеместно многофакторная аутентификация (MFA) может помочь ограничить полезность скомпрометированных учетных данных».
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
