Невідомий зловмисник націлився на державні установи в Україні наприкінці 2023 року, використовуючи старий експлойт Microsoft Office віддаленого виконання коду (RCE) 2017 року (CVE-2017-8570) як початковий вектор і військова техніка як приманка.
Зловмисник ініціював атаку за допомогою шкідливого файлу PowerPoint (.PPSX), надісланого у вигляді вкладення через повідомлення на безпечній платформі обміну повідомленнями Signal. Цей файл, який видавався за стару інструкцію армії США для розмінування лопатей для танків, насправді мав віддалений зв’язок із зовнішнім сценарієм, розміщеним на російському домені провайдера віртуального приватного сервера (VPS), захищеному Cloudflare.
Скрипт виконав експлойт CVE-2017-8570 для досягнення RCE, згідно Допис у блозі Deep Instinct про атаку цього тижня з метою викрадення інформації.
Під капотом хитрої кібератаки
З точки зору технічних тонкощів, обфускований сценарій маскувався під конфігурацію APN Cisco AnyConnect і відповідав за налаштування постійності, декодування та збереження вбудованого корисного навантаження на диск, що відбувалося в кілька етапів, щоб уникнути виявлення.
Корисне навантаження включає бібліотеку динамічних посилань (DLL) завантажувача/пакувальника під назвою «vpn.sessings», яка завантажує Cobalt Strike Beacon у пам’ять і очікує вказівок від сервера керування (C2) зловмисника.
Марк Вайцман, керівник групи лабораторії загроз у Deep Instinct, зазначає, що інструмент тестування на проникнення Cobalt Strike є дуже часто використовується серед загрозливих акторів, але цей конкретний маяк використовує спеціальний завантажувач, який спирається на кілька методів, які сповільнюють аналіз.
«Він постійно оновлюється, щоб надати зловмисникам простий спосіб переміщення вбік після встановлення початкового сліду», — каже він. «[І] це було реалізовано в кількох анти-аналізі та унікальних методах ухилення».
Вайцман зазначає, що у 2022 році в Cobalt Strike було виявлено серйозну CVE, яка дозволяла RCE, і багато дослідників передбачали, що зловмисники змінять інструмент для створення альтернатив з відкритим кодом.
«Кілька зламаних версій можна знайти на підпільних хакерських форумах», — каже він.
Крім налаштованої версії Cobalt Strike, за його словами, ця кампанія також примітна тим, що зловмисники безперервно намагаються маскувати свої файли та діяльність під законні рутинні операції з ОС і звичайними програмами, щоб залишатися прихованими та підтримувати контроль. заражених машин якомога довше. У цій кампанії, каже, зловмисники взяли це стратегія «жити за рахунок землі». надалі.
«Ця кампанія атаки демонструє кілька прийомів маскування та розумний спосіб наполегливості, який ще не був задокументований», — пояснює він, не розголошуючи деталей.
Група Cyberthreat має невідому марку та модель
Україна потрапила під приціл кількома загрозливими акторами неодноразово під час війни з Росією, з Піщана група слугуючи основним підрозділом агресора для боротьби з кібератаками.
Але на відміну від більшості кампаній атак під час війни, команда лабораторії загроз не змогла пов’язати цю спробу з жодною відомою групою загроз, що може вказувати на те, що це робота нової групи або представника повністю оновленого набору інструментів відомої загрози. актор.
Маюреш Дані, керівник відділу досліджень безпеки в Qualys Threat Research Unit, зазначає, що використання географічно різнорідних джерел, щоб допомогти суб’єктам загрози розвіяти приписування, також ускладнює групам безпеки забезпечення цільового захисту на основі географічного розташування.
«Зразок був завантажений з України, другий етап був розміщений і зареєстрований у російського провайдера VPS, а маяк Cobalt [C2] був зареєстрований у Варшаві, Польща», — пояснює він.
Він каже, що найцікавішим у ланцюжку атак для нього було те, що початковий компроміс був здійснений через захищений додаток Signal.
" Месенджер Signal широко використовується персоналом, який займається безпекою або ті, хто бере участь у розповсюдженні таємної інформації, наприклад журналісти», – зазначає він.
Покращуйте кіберброню за допомогою безпеки, керування виправленнями
Вайцман каже, що оскільки більшість кібератак починаються з фішингу або переманювання посилань через електронні листи чи повідомлення, ширша кіберобізнаність співробітників відіграє важливу роль у пом’якшенні таких спроб атак.
А командам із безпеки: «Ми також рекомендуємо сканувати надані IoC у мережі, а також переконатися, що Office виправлено до останньої версії», — каже Вайцман.
Каллі Гюнтер, старший менеджер із дослідження кіберзагроз у Critical Start, каже, що з точки зору оборони залежність від старих експлойтів також підкреслює важливість надійних систем керування виправленнями.
«Крім того, складність атаки підкреслює потребу в передових механізмах виявлення, які виходять за рамки підходи до кіберзахисту на основі сигнатур, - каже вона, - включаючи поведінку та виявлення аномалій для ідентифікації модифікованого шкідливого програмного забезпечення».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/cyberattacks-data-breaches/military-tank-manual-zero-day-ukraine-cyberattack
- : має
- :є
- : ні
- $UP
- 2017
- 2022
- 2023
- 7
- a
- МЕНЮ
- виконано
- За
- Achieve
- діяльність
- актори
- Додатково
- просунутий
- Також
- змінювати
- альтернативи
- серед
- an
- аналіз
- Якір
- та
- виявлення аномалії
- будь-який
- додаток
- застосування
- ЕСТЬ
- армія
- AS
- At
- атака
- нападаючий
- спроба
- Спроби
- обізнаність
- заснований
- BE
- маяк
- оскільки
- Яловичина
- було
- поведінка
- За
- Блог
- ширше
- але
- by
- Кампанія
- Кампанії
- CAN
- ланцюг
- Cisco
- CloudFlare
- Кобальт
- код
- загальний
- зазвичай
- компроміс
- постійно
- контроль
- тріщини
- створювати
- критичний
- виготовлений на замовлення
- cve
- кібер-
- Кібератака
- кібератаки
- Декодування
- глибокий
- оборони
- деталі
- Виявлення
- важкий
- розрізнені
- домен
- вниз
- під час
- динамічний
- зусилля
- повідомлення електронної пошти
- вбудований
- Співробітник
- кінець
- юридичні особи
- Втеча
- ухилення
- виконано
- виконання
- Пояснює
- Експлуатувати
- подвигів
- зовнішній
- факт
- філе
- Файли
- Слід
- для
- форуми
- знайдений
- від
- повністю
- далі
- географічні
- географічно
- Go
- Уряд
- Державні органи
- Group
- злом
- було
- he
- допомога
- капот
- відбувся
- HTTPS
- ідентифікувати
- реалізовані
- значення
- важливо
- in
- includes
- включення
- вказувати
- заражений
- інформація
- початковий
- розпочатий
- інструкції
- цікавий
- в
- залучений
- IT
- ЙОГО
- журналісти
- JPG
- відомий
- lab
- земля
- в значній мірі
- останній
- лідер
- законний
- бібліотека
- LINK
- життя
- завантажувач
- вантажі
- місць
- Довго
- Машинки для перманенту
- підтримувати
- зробити
- РОБОТИ
- Робить
- malicious
- управління
- менеджер
- керівництво
- багато
- маскарад
- Може..
- механізми
- пам'ять
- повідомлення
- повідомлення
- обмін повідомленнями
- Messenger
- Microsoft
- військовий
- пом’якшення
- модель
- модифікований
- найбільш
- рухатися
- множинний
- Необхідність
- мережу
- Нові
- nist
- Помітний
- примітки
- раз
- of
- від
- Office
- Старий
- старший
- on
- один раз
- відкрити
- з відкритим вихідним кодом
- операції
- or
- OS
- з
- приватність
- пластир
- проникнення
- наполегливість
- Персонал
- перспектива
- phishing
- платформа
- plato
- Інформація про дані Платона
- PlatoData
- відіграє
- точок
- Польща
- це можливо
- передвіщений
- первинний
- приватний
- захищений
- захист
- забезпечувати
- за умови
- Постачальник
- рекомендувати
- зареєстрований
- відносини
- опора
- спирається
- залишатися
- віддалений
- представник
- дослідження
- Дослідники
- відповідальний
- міцний
- Роль
- Росія
- російський
- s
- зразок
- економія
- говорить
- сканування
- сценарій
- другий
- безпечний
- безпеку
- Питання охорони судна
- старший
- посланий
- сервер
- виступаючої
- комплект
- установка
- кілька
- важкий
- поділ
- вона
- Шоу
- Сигнал
- простий
- сповільнювати
- розумний
- Софтвер
- витонченість
- Source
- Джерела
- Стажування
- етапи
- старт
- красти
- удар
- такі
- Переконайтеся
- Systems
- бак
- Танки
- цільове
- команда
- команди
- технічний
- методи
- terms
- Тестування
- Що
- Команда
- їх
- це
- На цьому тижні
- ті
- загроза
- актори загроз
- через
- до
- прийняли
- інструмент
- до
- Ukraine
- при
- метро
- під
- нижнє підкреслення
- створеного
- блок
- невідомий
- на відміну від
- оновлений
- підвищений
- завантажено
- us
- армія США
- використання
- використовуваний
- використання
- Транспортні засоби
- версія
- версії
- через
- Віртуальний
- VPN
- війна
- Варшава
- було
- шлях..
- we
- week
- ДОБРЕ
- Що
- який
- ВООЗ
- з
- без
- Work
- б
- ще
- зефірнет