Priročnik o vojaških tankih, 2017 Zero-Day Anchor Najnovejši ukrajinski kibernetski napad

Neznani akter grožnje je proti koncu leta 2023 ciljal na vladne subjekte v Ukrajini z uporabo starega Microsoft Officeovega izkoriščanja za oddaljeno izvajanje kode (RCE) iz leta 2017 (CVE-2017-8570) kot začetni vektor in vojaška vozila kot vaba.

Grožnja je sprožila napad z zlonamerno datoteko PowerPoint (.PPSX), poslano kot priponko prek sporočila na platformi za varno sporočanje Signal. Ta datoteka, ki se je predstavljala kot stari priročnik z navodili ameriške vojske za rezila za odstranjevanje min za tanke, je imela dejansko oddaljeno povezavo z zunanjim skriptom, ki gostuje na domeni ponudnika ruskega virtualnega zasebnega strežnika (VPS), ki jo ščiti Cloudflare.

Skript je izvedel izkoriščanje CVE-2017-8570 za dosego RCE, glede na Objava na blogu Deep Instinct o napadu ta teden, da bi ukradel podatke.

Pod pokrovom zapletenega kibernetskega napada

Kar zadeva tehnične podrobnosti, je zakriti skript zamaskiran kot konfiguracija APN Cisco AnyConnect in je bil odgovoren za nastavitev obstojnosti, dekodiranje in shranjevanje vdelanega koristnega tovora na disk, kar se je zgodilo v več fazah, da bi se izognili odkrivanju.

Tovor vključuje dinamično povezovalno knjižnico (DLL) za nalaganje/pakiranje z imenom »vpn.sessings«, ki naloži Cobalt Strike Beacon v pomnilnik in čaka na navodila strežnika za ukaze in nadzor (C2) napadalca.

Mark Vaitzman, vodja ekipe laboratorija za grožnje pri Deep Instinct, ugotavlja, da je orodje za testiranje penetracije Cobalt Strike zelo pogosto uporabljen med akterji groženj, vendar ta poseben svetilnik uporablja nalagalnik po meri, ki se opira na več tehnik, ki upočasnijo analizo.

»Nenehno se posodablja, da napadalcem omogoči preprost način bočnega premikanja, ko je nastavljen začetni odtis,« pravi. "[In] je bil implementiran v več anti-analizah in edinstvenih tehnikah izogibanja."

Vaitzman ugotavlja, da je bil leta 2022 v Cobalt Strike odkrit resen CVE, ki je omogočal RCE – in mnogi raziskovalci so predvidevali, da bodo akterji groženj spremenili orodje za ustvarjanje odprtokodnih alternativ.

"Na podzemnih hekerskih forumih je mogoče najti več krekanih različic," pravi.

Poleg prilagojene različice Cobalt Strike, pravi, je kampanja opazna tudi po dolžinah, do katerih akterji groženj nenehno poskušajo prikriti svoje datoteke in dejavnost kot legitimne, rutinske operacije operacijskega sistema in običajnih aplikacij, da bi ostali skriti in ohranili nadzor. okuženih strojev čim dlje. V tej akciji, pravi, so napadalci to vzeli strategijo »živeti od zemlje«. nadalje.

»Ta napadna kampanja prikazuje več tehnik maskiranja in pameten način vztrajanja, ki še ni bil dokumentiran,« pojasnjuje, ne da bi razkril podrobnosti.

Skupina Cyberthreat ima neznano znamko in model

Tarča je bila Ukrajina s strani več akterjev grožnje večkrat med njeno vojno z Rusijo, z Skupina Sandworm služi kot agresorjeva primarna enota za kibernetske napade.

Toda za razliko od večine napadalnih kampanj med vojno ekipa laboratorija za grožnje tega prizadevanja ni mogla povezati z nobeno znano skupino groženj, kar lahko nakazuje, da je to delo nove skupine ali predstavnika popolnoma nadgrajenega nabora orodij znane grožnje. igralec.

Mayuresh Dani, vodja varnostnih raziskav pri Qualys Threat Research Unit, poudarja, da uporaba geografsko različnih virov za pomoč akterjem groženj odpraviti pripisovanje prav tako otežuje varnostnim ekipam zagotavljanje ciljne zaščite na podlagi geografskih lokacij.

»Vzorec je bil naložen iz Ukrajine, druga stopnja je bila gostovana in registrirana pri ruskem ponudniku VPS, svetilnik Cobalt [C2] pa je bil registriran v Varšavi na Poljskem,« pojasnjuje.

Pravi, da se mu je pri verigi napadov zdelo najbolj zanimivo to, da je bil začetni kompromis dosežen prek varne aplikacije Signal.

" Signal messenger je v veliki meri uporabljalo osebje, osredotočeno na varnost ali tisti, ki so vpleteni v izmenjavo skrivnih informacij, kot so novinarji,« ugotavlja.

Izboljšajte kibernetski oklep z zavedanjem o varnosti, upravljanjem popravkov

Vaitzman pravi, da ker se večina kibernetskih napadov začne z lažnim predstavljanjem ali zvabljanjem povezav prek e-pošte ali sporočil, ima širša kibernetska ozaveščenost zaposlenih pomembno vlogo pri blaženju takšnih poskusov napadov.

Varnostnim ekipam pa: »Priporočamo tudi skeniranje ponujenih IoC-jev v omrežju in zagotovitev, da je Office popravljen na najnovejšo različico,« pravi Vaitzman.

Callie Guenther, višja vodja raziskave kibernetskih groženj pri Critical Start, pravi, da z obrambnega vidika zanašanje na starejše izkoriščanja poudarja tudi pomen robustnih sistemov za upravljanje popravkov.

»Poleg tega sofisticiranost napada poudarja potrebo po naprednih mehanizmih zaznavanja, ki presegajo pristopi kibernetske obrambe, ki temeljijo na podpisu,« pravi, »vključuje vedenje in odkrivanje nepravilnosti za prepoznavanje spremenjene zlonamerne programske opreme.«

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/cyberattacks-data-breaches/military-tank-manual-zero-day-ukraine-cyberattack