Den statligt sponsrade cyberattackgruppen känd som Billbug lyckades äventyra en digital certifikatmyndighet (CA) som en del av en omfattande spionagekampanj som sträckte sig tillbaka till mars – en angenäm utveckling i spelboken för avancerade persistent hot (APT), varnar forskare.
Digitala certifikat är filer som används för att signera programvara som giltig och verifiera identiteten för en enhet eller användare för att möjliggöra krypterade anslutningar. Som sådan kan en CA-kompromiss leda till en legion av smygande uppföljningsattacker.
"Inriktningen på en certifikatmyndighet är anmärkningsvärd, som om angriparna lyckades kompromittera den för att komma åt certifikat, skulle de potentiellt kunna använda dem för att signera skadlig programvara med ett giltigt certifikat och hjälpa den att undvika upptäckt på offermaskiner", enligt en rapport denna vecka från Symantec. "Det kan också potentiellt använda komprometterade certifikat för att fånga upp HTTPS-trafik."
"Detta är potentiellt mycket farligt," noterade forskarna.
En pågående ström av cyberkompromisser
Billbug (aka Lotus Blossom eller Thrip) är en Kina-baserad spionagegrupp som främst riktar sig till offer i Sydostasien. Det är känt för storviltsjakt – dvs. att gå efter hemligheterna som innehas av militära organisationer, statliga enheter och kommunikationsleverantörer. Ibland kastar den ett bredare nät, antyder mörkare motiv: I ett tidigare fall infiltrerade den en flygoperatör för att infektera datorerna som övervakar och kontrollerar satelliternas rörelser.
Under den senaste upplagan av skändlig aktivitet slog APT ett pantheon av regerings- och försvarsorgan över hela Asien, i ett fall infekterade "ett stort antal maskiner" på ett statligt nätverk med sin anpassade skadliga programvara.
"Den här kampanjen pågick från åtminstone mars 2022 till september 2022, och det är möjligt att den här aktiviteten kan pågå", säger Brigid O Gorman, senior underrättelseanalytiker på Symantec Threat Hunter Team. "Billbug är en sedan länge etablerad hotgrupp som har genomfört flera kampanjer under åren. Det är möjligt att denna aktivitet kan sträcka sig till ytterligare organisationer eller geografier, även om Symantec inte har några bevis för det för tillfället."
Ett välbekant tillvägagångssätt för cyberattacker
Vid dessa mål såväl som vid CA har den initiala åtkomstvektorn varit exploatering av sårbara, offentliga applikationer. Efter att ha fått möjligheten att exekvera kod fortsätter hotaktörerna att installera sina kända, anpassade Hannotog eller Sagerunex bakdörrar innan de gräver djupare in i nätverk.
För de senare stadierna av dödandekedjan använder Billbug-angripare flera living-off-the-land binärer (LoLBins), såsom AdFind, Certutil, NBTscan, Ping, Port Scanner, Route, Tracert, Winmail och WinRAR, enligt Symantecs rapport.
Dessa legitima verktyg kan missbrukas för olika dubbelgångare, som att fråga Active Directory för att kartlägga ett nätverk, ZIP-filer för exfiltrering, avslöja sökvägar mellan slutpunkter, skanna NetBIOS och portar och installera webbläsarrotcertifikat – för att inte tala om att ladda ner ytterligare skadlig programvara .
De anpassade bakdörrarna i kombination med verktyg för dubbla användningsområden är ett välbekant fotavtryck, som har använts av APT tidigare. Men bristen på oro för allmänhetens exponering är par för kursen för gruppen.
"Det är anmärkningsvärt att Billbug verkar inte avskräckas av möjligheten att få den här aktiviteten tillskriven sig, med den återanvändning av verktyg som har varit kopplade till gruppen tidigare", säger Gorman.
Hon tillägger: "Gruppens tunga användning av att leva på marken och verktyg för dubbla användningsområden är också anmärkningsvärd, och understryker behovet för organisationer att ha säkerhetsprodukter på plats som inte bara kan upptäcka skadlig programvara, utan också även känna igen om legitima verktyg potentiellt används på ett misstänkt eller illvilligt sätt."
Symantec har meddelat den icke namngivna CA i fråga för att informera den om aktiviteten, men Gorman avböjde att ge ytterligare information om dess svar eller saneringsinsatser.
Även om det hittills inte finns några indikationer på att gruppen kunde fortsätta att äventyra faktiska digitala certifikat, råder forskaren, "Företag bör vara medvetna om att skadlig programvara kan signeras med giltiga certifikat om hotaktörer kan få tillgång till certifikatmyndigheter."
I allmänhet bör organisationer anta en djupgående försvarsstrategi, med hjälp av flera tekniker för upptäckt, skydd och härdning för att minska riskerna vid varje punkt i en potentiell attackkedja, säger hon.
"Symantec skulle också råda att implementera korrekt revision och kontroll av administrativ kontoanvändning," noterade Gorman. "Vi skulle också föreslå att du skapar användarprofiler för administratörsverktyg eftersom många av dessa verktyg används av angripare för att förflytta sig i sidled oupptäckt genom ett nätverk. Överlag kan multifaktorautentisering (MFA) hjälpa till att begränsa användbarheten av komprometterade autentiseringsuppgifter.”
