Посібник військового танку, 2017 Zero-Day Anchor Остання кібератака на Україну

Невідомий зловмисник націлився на державні установи в Україні наприкінці 2023 року, використовуючи старий експлойт Microsoft Office віддаленого виконання коду (RCE) 2017 року (CVE-2017-8570) як початковий вектор і військова техніка як приманка.

Зловмисник ініціював атаку за допомогою шкідливого файлу PowerPoint (.PPSX), надісланого у вигляді вкладення через повідомлення на безпечній платформі обміну повідомленнями Signal. Цей файл, який видавався за стару інструкцію армії США для розмінування лопатей для танків, насправді мав віддалений зв’язок із зовнішнім сценарієм, розміщеним на російському домені провайдера віртуального приватного сервера (VPS), захищеному Cloudflare.

Скрипт виконав експлойт CVE-2017-8570 для досягнення RCE, згідно Допис у блозі Deep Instinct про атаку цього тижня з метою викрадення інформації.

Під капотом хитрої кібератаки

З точки зору технічних тонкощів, обфускований сценарій маскувався під конфігурацію APN Cisco AnyConnect і відповідав за налаштування постійності, декодування та збереження вбудованого корисного навантаження на диск, що відбувалося в кілька етапів, щоб уникнути виявлення.

Корисне навантаження включає бібліотеку динамічних посилань (DLL) завантажувача/пакувальника під назвою «vpn.sessings», яка завантажує Cobalt Strike Beacon у пам’ять і очікує вказівок від сервера керування (C2) зловмисника.

Марк Вайцман, керівник групи лабораторії загроз у Deep Instinct, зазначає, що інструмент тестування на проникнення Cobalt Strike є дуже часто використовується серед загрозливих акторів, але цей конкретний маяк використовує спеціальний завантажувач, який спирається на кілька методів, які сповільнюють аналіз.

«Він постійно оновлюється, щоб надати зловмисникам простий спосіб переміщення вбік після встановлення початкового сліду», — каже він. «[І] це було реалізовано в кількох анти-аналізі та унікальних методах ухилення».

Вайцман зазначає, що у 2022 році в Cobalt Strike було виявлено серйозну CVE, яка дозволяла RCE, і багато дослідників передбачали, що зловмисники змінять інструмент для створення альтернатив з відкритим кодом.

«Кілька зламаних версій можна знайти на підпільних хакерських форумах», — каже він.

Крім налаштованої версії Cobalt Strike, за його словами, ця кампанія також примітна тим, що зловмисники безперервно намагаються маскувати свої файли та діяльність під законні рутинні операції з ОС і звичайними програмами, щоб залишатися прихованими та підтримувати контроль. заражених машин якомога довше. У цій кампанії, каже, зловмисники взяли це стратегія «жити за рахунок землі». надалі.

«Ця кампанія атаки демонструє кілька прийомів маскування та розумний спосіб наполегливості, який ще не був задокументований», — пояснює він, не розголошуючи деталей.

Група Cyberthreat має невідому марку та модель

Україна потрапила під приціл кількома загрозливими акторами неодноразово під час війни з Росією, з Піщана група слугуючи основним підрозділом агресора для боротьби з кібератаками.

Але на відміну від більшості кампаній атак під час війни, команда лабораторії загроз не змогла пов’язати цю спробу з жодною відомою групою загроз, що може вказувати на те, що це робота нової групи або представника повністю оновленого набору інструментів відомої загрози. актор.

Маюреш Дані, керівник відділу досліджень безпеки в Qualys Threat Research Unit, зазначає, що використання географічно різнорідних джерел, щоб допомогти суб’єктам загрози розвіяти приписування, також ускладнює групам безпеки забезпечення цільового захисту на основі географічного розташування.

«Зразок був завантажений з України, другий етап був розміщений і зареєстрований у російського провайдера VPS, а маяк Cobalt [C2] був зареєстрований у Варшаві, Польща», — пояснює він.

Він каже, що найцікавішим у ланцюжку атак для нього було те, що початковий компроміс був здійснений через захищений додаток Signal.

" Месенджер Signal широко використовується персоналом, який займається безпекою або ті, хто бере участь у розповсюдженні таємної інформації, наприклад журналісти», – зазначає він.

Покращуйте кіберброню за допомогою безпеки, керування виправленнями

Вайцман каже, що оскільки більшість кібератак починаються з фішингу або переманювання посилань через електронні листи чи повідомлення, ширша кіберобізнаність співробітників відіграє важливу роль у пом’якшенні таких спроб атак.

А командам із безпеки: «Ми також рекомендуємо сканувати надані IoC у мережі, а також переконатися, що Office виправлено до останньої версії», — каже Вайцман.

Каллі Гюнтер, старший менеджер із дослідження кіберзагроз у Critical Start, каже, що з точки зору оборони залежність від старих експлойтів також підкреслює важливість надійних систем керування виправленнями.

«Крім того, складність атаки підкреслює потребу в передових механізмах виявлення, які виходять за рамки підходи до кіберзахисту на основі сигнатур, - каже вона, - включаючи поведінку та виявлення аномалій для ідентифікації модифікованого шкідливого програмного забезпечення».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/cyberattacks-data-breaches/military-tank-manual-zero-day-ukraine-cyberattack