Katonai harckocsik kézikönyve, 2017 Zero-Day Anchor Ukrajna legújabb kibertámadása

Egy ismeretlen fenyegetőző 2023 vége felé Ukrajnában egy régi, 2017-es Microsoft Office távoli kódvégrehajtási (RCE) kizsákmányolással célzott kormányzati szervekre (CVE-2017 8570-) kezdeti vektorként, a katonai járművek pedig csaliként.

A fenyegetés szereplője egy rosszindulatú PowerPoint-fájl (.PPSX) segítségével kezdeményezte a támadást, amelyet mellékletként küldtek el a Signal biztonságos üzenetküldő platformon. Ez a fájl, amelyet az Egyesült Államok hadserege által a harckocsik aknamentesítő pengéihez használt régi használati útmutatónak álcáztak, valójában távoli kapcsolatban állt egy külső szkripttel, amelyet a Cloudflare által védett orosz virtuális magánszerver (VPS) szolgáltató tartományában tároltak.

A szkript végrehajtotta a CVE-2017-8570 exploitot az RCE eléréséhez, egy Deep Instinct blogbejegyzés ezen a héten a támadáson, hogy információkat lopjanak el.

Egy trükkös kibertámadás motorháztetője alatt

Ami a technikai finomságokat illeti, az elhomályosított szkript Cisco AnyConnect APN konfigurációnak álcázta magát, és felelős volt a perzisztencia beállításáért, a dekódolásért és a beágyazott hasznos adat lemezre mentéséért, ami több lépésben történt az észlelés elkerülése érdekében.

A hasznos adat tartalmaz egy „vpn.sessings” nevű betöltő/csomagoló dinamikus hivatkozási könyvtárat (DLL), amely egy Cobalt Strike Beacont tölt be a memóriába, és várja a támadó parancs- és vezérlőkiszolgálójától kapott utasításokat.

Mark Vaitzman, a Deep Instinct fenyegetéslaboratóriumának vezetője megjegyzi, hogy a Cobalt Strike behatolást vizsgáló eszköz nagyon gyakran használják a fenyegetés szereplői között, de ez a jeladó egy egyéni betöltőt használ, amely számos, az elemzést lelassító technikára támaszkodik.

„Folyamatosan frissítjük, hogy a támadók egyszerű módot nyújtsanak az oldalirányú mozgásra, amint a kezdeti lábnyom be van állítva” – mondja. "[És] számos anti-analízisben és egyedi kijátszási technikában alkalmazták."

Vaitzman megjegyzi, hogy 2022-ben súlyos CVE-t találtak, amely lehetővé tette az RCE-t a Cobalt Strike-ban – és sok kutató azt jósolta, hogy a fenyegetés szereplői megváltoztatják az eszközt, hogy nyílt forráskódú alternatívákat hozzanak létre.

"Számos feltört verzió megtalálható a földalatti hackerfórumokon" - mondja.

A Cobalt Strike finomított verzióján túl a kampány arra is figyelemre méltó, hogy a fenyegetés szereplői milyen hosszú ideig próbálják meg fájljaikat és tevékenységeiket legitim, rutin operációs rendszer és általános alkalmazások műveletként álcázni, hogy rejtve maradjanak, és fenntartsák az irányítást. a fertőzött gépeket, ameddig csak lehetséges. Ebben a kampányban azt mondja, hogy a támadók ezt vették át „földről élni” stratégia tovább.

"Ez a támadási kampány számos álcázási technikát és a kitartás okos módját mutatja be, amelyet még nem dokumentáltak" - magyarázza, részleteket nem árul el.

A Cyberthreat Group ismeretlen gyártmányú és modellel rendelkezik

Ukrajna célponttá vált több fenyegetés szereplője által többszörösen az Oroszországgal vívott háború során Homokféreg csoport az agresszor elsődleges kibertámadási egységeként szolgál.

A háború alatti legtöbb támadási kampánytól eltérően azonban a fenyegetéslaboratóriumi csapat nem tudta összekapcsolni ezt az erőfeszítést egyetlen ismert fenyegető csoporttal sem, ami arra utalhat, hogy ez egy új csoport munkája vagy egy ismert fenyegetés egy teljesen továbbfejlesztett eszközkészletének képviselője. színész.

Mayuresh Dani, a Qualys Threat Research Unit biztonsági kutatási menedzsere rámutat, hogy a földrajzilag eltérő források segítségével a fenyegetés szereplői eloszlatják az attribúciót, és megnehezítik a biztonsági csapatok számára a földrajzi helyeken alapuló célzott védelmet.

„A mintát Ukrajnából töltötték fel, a második szakaszt egy orosz VPS-szolgáltató tárolta és regisztrálta, a Cobalt jeladót [C2] pedig Varsóban, Lengyelországban regisztrálták” – magyarázza.

Azt mondja, hogy a támadási láncban az volt a legérdekesebb, hogy a kezdeti kompromisszumot a biztonságos Signal alkalmazáson keresztül sikerült elérni.

"A A Signal Messenger szolgáltatást nagyrészt a biztonságra összpontosító személyzet használta vagy azok, akik titkos információk megosztásában vesznek részt, például újságírók” – jegyzi meg.

Feljavított kiberpáncél biztonsági tudatossággal, javításkezeléssel

Vaitzman szerint mivel a legtöbb kibertámadás adathalászattal vagy e-mailek vagy üzenetek útján történő linkcsalogatással kezdődik, az alkalmazottak szélesebb körű kibertudatossága fontos szerepet játszik az ilyen támadási kísérletek mérséklésében.

A biztonsági csapatok számára pedig azt is javasoljuk, hogy vizsgálják meg a hálózatban található IoC-ket, és gondoskodjanak arról, hogy az Office a legújabb verzióra legyen javítva” – mondja Vaitzman.

Callie Guenther, a Critical Start kiberfenyegetések kutatásának vezető menedzsere azt mondja, hogy védelmi szempontból a régebbi kizsákmányolásokra való támaszkodás is hangsúlyozza a robusztus javításkezelő rendszerek fontosságát.

„Ezen túlmenően a támadás kifinomultsága aláhúzza a fejlett észlelési mechanizmusok szükségességét, amelyek túlmutatnak aláírás-alapú kibervédelmi megközelítések", mondja, "beépítve a viselkedést és az anomáliák észlelését a módosított rosszindulatú szoftverek azonosítására."

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/cyberattacks-data-breaches/military-tank-manual-zero-day-ukraine-cyberattack