Aiemmin pahamaineiseen ShadowPad-etäkäyttötroijalaiseen (RAT) liittyneen uhkaryhmän on havaittu käyttävän suosittujen ohjelmistopakettien vanhoja ja vanhentuneita versioita haittaohjelmien lataamiseen järjestelmiin, jotka kuuluvat useille Aasian viranomais- ja puolustusorganisaatioille.
Syynä laillisten ohjelmistojen vanhentuneiden versioiden käyttämiseen on se, että hyökkääjät voivat käyttää tunnettua menetelmää, jota kutsutaan dynaamisen linkin kirjaston (DLL) sivulataukseksi, suorittaakseen haitallisia hyötykuormia kohdejärjestelmässä. Useimmat samojen tuotteiden nykyiset versiot suojaavat hyökkäysvektorilta, joka tarkoittaa käytännössä sitä, että vastustajat naamioivat haitallisen DLL-tiedoston lailliseksi tiedostoksi ja laittavat sen hakemistoon, jossa sovellus lataa ja suorittaa tiedoston automaattisesti.
Broadcomin ohjelmiston Symantec Threat Hunter -tiimin tutkijat havaitsivat ShadowPad- liittyvä uhkaryhmä, joka käyttää taktiikkaa kybervakoilukampanjassa. Ryhmän kohteina ovat tähän mennessä olleet pääministerin kanslia, finanssisektoriin liittyvät valtion organisaatiot, valtion omistamat puolustus- ja ilmailualan yritykset sekä valtion omistamat tele-, IT- ja mediayhtiöt. Tietoturvatoimittajan analyysi osoitti, että kampanja on ollut käynnissä ainakin vuoden 2021 alusta lähtien, ja tiedustelu on ollut pääpaino.
Tunnettu kyberhyökkäystaktiikka, mutta onnistunut
"Käyttö laillisia sovelluksia DLL-sivulatauksen helpottamiseksi näyttää olevan kasvava trendi alueella toimivien vakoilutoimijoiden keskuudessa", Symantec sanoi raportissa tällä viikolla. Se on houkutteleva taktiikka, koska haittaohjelmien torjuntatyökalut eivät usein huomaa haitallista toimintaa, koska hyökkääjät käyttivät vanhoja sovelluksia sivulataukseen.
"Hakemusten iän ohella toinen yhteinen piirre on, että ne olivat kaikki suhteellisen tunnettuja nimiä ja voivat siten vaikuttaa harmittomilta." sanoo Alan Neville, Symantecin uhkien metsästäjäryhmän uhkatiedon analyytikko.
Se, että nykyisen Aasian kampanjan takana oleva ryhmä käyttää taktiikkaa, vaikka se on hyvin ymmärretty, viittaa siihen, että tekniikka tuottaa jonkin verran menestystä, Symantec sanoi.
Neville sanoo, että hänen yrityksensä ei ole viime aikoina havainnut uhkatoimijoiden käyttävän taktiikkaa Yhdysvalloissa tai muualla. "Tekniikkaa käyttävät enimmäkseen aasialaisiin organisaatioihin keskittyvät hyökkääjät", hän lisää.
Neville sanoo, että useimmissa uusimman kampanjan hyökkäyksissä uhkatoimijat käyttivät laillista PsExec Windows -apuohjelmaa ohjelmien suorittaminen etäjärjestelmissä sivulatauksen suorittamiseen ja haittaohjelmien käyttöönottoon. Kaikissa tapauksissa hyökkääjät olivat jo aiemmin vaarantaneet järjestelmät, joihin se asensi vanhat, lailliset sovellukset.
"[Ohjelmat] asennettiin jokaiseen vaarantuneeseen tietokoneeseen, jolla hyökkääjät halusivat ajaa haittaohjelmia. Joissakin tapauksissa se voi olla useita tietokoneita samassa uhriverkossa", Neville sanoo. Muissa tapauksissa Symantec havaitsi myös heidän ottavan käyttöön useita laillisia sovelluksia yhdelle koneelle ladatakseen haittaohjelmiaan, hän lisää.
"He käyttivät melkoisia ohjelmistoja, mukaan lukien tietoturvaohjelmistoja, grafiikkaohjelmistoja ja verkkoselaimia", hän huomauttaa. Joissakin tapauksissa Symantecin tutkijat havaitsivat myös, että hyökkääjä käytti laillisia järjestelmätiedostoja vanhasta Windows XP -käyttöjärjestelmästä hyökkäyksen mahdollistamiseksi.
Logdatter, valikoima haitallisia hyötykuormia
Yksi haitallisista hyötykuormista on uusi Logdatter-niminen tiedon varastaja, jonka avulla hyökkääjät voivat muun muassa kirjata näppäinpainalluksia, ottaa kuvakaappauksia, tehdä kyselyitä SQL-tietokannoista, syöttää mielivaltaista koodia ja ladata tiedostoja. Muita hyötykuormia, joita uhkatoimija käyttää Aasian kampanjassaan, ovat PlugX-pohjainen troijalainen, kaksi Trochilus- ja Quasar-nimellä nimettyä RAT-laitetta sekä useita laillisia kaksikäyttötyökaluja. Näitä ovat Ladon, penetraatiotestauskehys, FScan ja NBTscan uhrien ympäristöjen skannaukseen.
Neville sanoo, että Symantec ei ole pystynyt määrittämään varmuudella, kuinka uhkatekijät voivat saada alkupääsyn kohdeympäristöön. Tietojenkalastelu ja korjaamattomien järjestelmien mahdollisuuksien kohdistaminen ovat kuitenkin todennäköisiä vektoreita.
"Vaihtoehtoisesti ohjelmiston toimitusketjun hyökkäys ei ole näiden hyökkääjien toimivallan ulkopuolella, koska ShadowPadiin pääsyn omaavat toimijat ovat joiden tiedetään käynnistäneen toimitusketjuhyökkäyksiä menneisyydessä”, Neville huomauttaa. Kun uhkatekijät ovat saaneet pääsyn ympäristöön, he ovat pyrkineet etsimään muita järjestelmiä, joihin kohdistaa kohdetta.
Suojautuakseen tällaisilta hyökkäyksiltä organisaatioiden on otettava käyttöön mekanismeja, joilla tarkastetaan ja valvotaan, mitä ohjelmistoja heidän verkossaan on käynnissä. Heidän tulisi myös harkita sellaisen politiikan toteuttamista, jonka mukaan sallitaan vain sallittujen luetteloon lisättyjen sovellusten käyttö ympäristössä, ja asetettava etusijalle julkisten sovellusten haavoittuvuuksien korjaus.
"Suosittelemme myös ryhtymään välittömiin toimiin sellaisten koneiden puhdistamiseksi, joissa on merkkejä kompromisseista", Neville neuvoo, "… mukaan lukien pyöräilytiedot ja oman organisaatiosi sisäisen prosessin noudattaminen perusteellisen tutkimuksen suorittamiseksi."
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
