Спонсорована державою група кібератак, відома як Billbug, зуміла скомпрометувати центр цифрових сертифікатів (CA) у рамках широкомасштабної шпигунської кампанії, яка тривала ще в березні. Дослідники попереджають, що це викликає занепокоєння в підручнику з прогресивними постійними загрозами (APT).
Цифрові сертифікати – це файли, які використовуються для підпису програмного забезпечення як дійсного та перевірки ідентичності пристрою чи користувача для ввімкнення зашифрованих з’єднань. Таким чином, компроміс CA може призвести до легіону прихованих наступних атак.
«Націлювання на центр сертифікації є помітним, оскільки, якби зловмисникам вдалося успішно скомпрометувати його для доступу до сертифікатів, вони потенційно могли б використати їх для підпису зловмисного програмного забезпечення дійсним сертифікатом і допомогти йому уникнути виявлення на комп’ютерах-жертві», – йдеться в заяві. повідомити цього тижня від Symantec. «Він також потенційно може використовувати скомпрометовані сертифікати для перехоплення трафіку HTTPS».
«Це потенційно дуже небезпечно», — зазначили дослідники.
Безперервна низка кіберкомпромісів
Billbug (він же Lotus Blossom або Thrip) — це китайська шпигунська група, яка в основному націлена на жертв у Південно-Східній Азії. Він відомий тим, що займається полюванням на велику дичину, тобто пошуком таємниць, якими володіють військові організації, урядові організації та постачальники послуг зв’язку. Іноді він кидає ширшу мережу, натякаючи на темні мотиви: в одному з минулих випадків він проник в оператора аерокосмічної галузі, щоб заразити комп’ютери, які відстежують і контролюють рух супутників.
Під час останньої серії нечесної діяльності APT вразив пантеон державних і оборонних агенцій по всій Азії, в одному випадку заразивши «велику кількість машин» в державній мережі своїм спеціальним шкідливим програмним забезпеченням.
«Ця кампанія тривала принаймні з березня 2022 року по вересень 2022 року, і цілком можливо, що ця діяльність може тривати», — каже Брігід О Горман, старший аналітик із розвідки Symantec Threat Hunter Team. «Billbug — це давня група загроз, яка протягом багатьох років проводила численні кампанії. Цілком можливо, що ця діяльність може поширюватися на додаткові організації чи географічні регіони, хоча Symantec наразі не має цьому доказів».
Знайомий підхід до кібератак
Для цих цілей, а також для ЦС початковим вектором доступу було використання вразливих загальнодоступних програм. Отримавши можливість виконувати код, зловмисники встановлюють свої відомі користувальницькі бекдори Hannotog або Sagerunex, перш ніж зариватися глибше в мережі.
Для пізніх етапів ланцюжка знищення зловмисники Billbug використовують декілька двійкові файли живих поза межами землі (LoLBins), як-от AdFind, Certutil, NBTscan, Ping, Port Scanner, Route, Tracert, Winmail і WinRAR, згідно зі звітом Symantec.
Цими легітимними інструментами можна зловживати для різноманітних подвійних цілей, як-от запит до Active Directory для відображення мережі, архівування файлів ZIP для викрадання, виявлення шляхів між кінцевими точками, сканування NetBIOS і портів і встановлення кореневих сертифікатів браузера — не кажучи вже про завантаження додаткового шкідливого програмного забезпечення. .
Користувальницькі бекдори в поєднанні з інструментами подвійного призначення є знайомим слідом, який використовувався APT у минулому. Але відсутність занепокоєння щодо публічного показу є пар на курс для групи.
«Примітно, що Billbug, схоже, не збентежений можливістю приписування цієї діяльності йому, оскільки він повторно використовує інструменти, які були пов’язані з групою в минулому», — каже Горман.
Вона додає: «Група також активно використовує інструменти подвійного призначення, живучи за рахунок землі, і підкреслює необхідність для організацій мати продукти безпеки, які можуть не лише виявляти зловмисне програмне забезпечення, але й також розпізнати, чи потенційно використовуються законні інструменти у підозрілий або зловмисний спосіб».
Symantec повідомила відповідний неназваний центр сертифікації, щоб повідомити його про цю діяльність, але Горман відмовився надати додаткові подробиці щодо його реагування чи заходів щодо виправлення.
Хоча наразі немає жодних ознак того, що групі вдалося скомпрометувати фактичні цифрові сертифікати, дослідник радить: «Підприємства повинні знати, що зловмисне програмне забезпечення може бути підписано дійсними сертифікатами, якщо зловмисники зможуть отримати доступ до центрів сертифікації».
Загалом організації повинні прийняти стратегію поглибленого захисту, використовуючи багаторазові технології виявлення, захисту та захисту, щоб зменшити ризик у кожній точці потенційного ланцюга атак, каже вона.
«Symantec також радить запровадити належний аудит і контроль використання адміністративного облікового запису», — зазначив Горман. «Ми також запропонували б створити профілі використання для інструментів адміністратора, оскільки багато з цих інструментів використовуються зловмисниками для непоміченого переміщення через мережу. Загалом багатофакторна автентифікація (MFA) може допомогти обмежити корисність скомпрометованих облікових даних».
