فيما يُعتقد أنه أول استخدام معروف للتكتيك ، يستفيد ممثل التهديد المستمر المتقدم من خدمات Microsoft OneDrive لأغراض القيادة والسيطرة (C2) في حملة تجسس إلكتروني معقدة تستهدف كبار مسؤولي الحكومة وصناعة الدفاع في دولة دولة في غرب آسيا.
عزا الباحثون من Trellix الذين كانوا يتتبعون الحملة ، بدرجة منخفضة إلى معتدلة من الثقة إلى APT28 ، المعروف أيضًا باسم Fancy Bear ، وهو ممثل تهديد ربطته الحكومة الأمريكية سابقًا بجهاز المخابرات العسكرية الروسية. يُظهر تحليل Trellix للبيانات المتعلقة بالحملة أن الجهات الفاعلة المهددة لها أيضًا أنظارها على الكيانات الدفاعية والحكومية في بولندا ودول أوروبا الشرقية الأخرى.
بدأت سلسلة العدوى لحملة APT28 متعددة المراحل التي لاحظها Trellix مثل العديد من حملات APT الأخرى - مع تنفيذ ملف Excel ضار على الأرجح تم إرساله إلى الهدف عبر بريد إلكتروني للتصيد الاحتيالي. احتوى الملف على ثغرة لـ CVE-2021-40444، ثغرة أمنية خطيرة في تنفيذ التعليمات البرمجية عن بُعد في MSHTML أو "Trident" ، محرك المستعرض الخاص بشركة Microsoft. كانت الثغرة الأمنية عيبًا في يوم الصفر - مما يعني أنه لم يكن هناك تصحيح متاح لها - عندما كانت Microsoft كشف عنها في سبتمبر الماضي وسط تقارير عن نشاط استغلال نشط.
أدى استغلال عامل التهديد لخلل MSHTML إلى ملف مكتبة الارتباط الديناميكي الضار (DLL) الذي يتم تنفيذه في ذاكرة النظام المخترق وتنزيل أحد مكونات البرامج الضارة من المرحلة الثالثة التي أطلق عليها Trellix اسم "الجرافيت". أظهر تحليل بائع الأمان لـ Graphite أنه يستخدم حسابات Microsoft OneDrive كخادم C2 عبر Microsoft Graph API - واجهة برمجة تطبيقات الويب للوصول إلى خدمات Microsoft Cloud.
وجد Trellix أن برنامج الجرافيت الضار نفسه عبارة عن ملف DLL قابل للتنفيذ استنادًا إلى إطار عمل الإدارة عن بُعد للإمبراطورية المفتوحة المصدر وما بعد الاستغلال ومصمم للتشغيل بالكامل في الذاكرة وعدم الكتابة على القرص مطلقًا. كانت البرامج الضارة جزءًا من سلسلة عدوى متعددة المراحل أسفرت أخيرًا عن تنزيل وكيل Empire على النظام المشتمل واستخدامه للتحكم فيه عن بُعد.
يقول كريستيان بيك ، كبير العلماء في Trellix ، إن آلية C2 الجديدة للجهة المهددة باستخدام خدمة سحابية كانت خطوة مثيرة للاهتمام وشيئًا لم يلاحظه باحثو الشركة من قبل. يقول: "كان استخدام Microsoft OneDrive كآلية خادم للقيادة والتحكم مفاجأة ، وطريقة جديدة للتفاعل السريع مع الأجهزة المصابة".
سمح هذا التكتيك للمهاجمين بسحب الأوامر المشفرة إلى مجلدات الضحية. بعد ذلك ، سيتزامن OneDrive مع أجهزة الضحية وسيتم تنفيذ الأوامر المشفرة ، وبعد ذلك سيتم تشفير أي معلومات مطلوبة وإرسالها مرة أخرى إلى OneDrive الخاص بالمهاجم ، كما يقول بيك.
العلاقات مع APT الروسي 28
تم تصميم الهجوم متعدد المراحل وطريقة تنفيذه بحيث يصعب على المدافعين اكتشاف ما يجري. ومع ذلك ، يجب أن تكون المنظمات ذات أنظمة الكشف المكونة بشكل صحيح قادرة على اكتشاف النشاط الضار. يقول بيك: "على الرغم من استخدام جميع أنواع تقنيات العيش بعيدًا عن الأرض للبقاء تحت الرادار ، يحتاج المهاجمون إلى التواصل مع الأنظمة داخليًا وتنفيذ الأوامر التي يجب أن تؤدي إلى تشغيل تقنية XDR المكوّنة بشكل صحيح".
وأظهرت وثائق إغراء وقياسات أخرى مرتبطة بحملة APT28 أن المهاجم كان مهتمًا بالأهداف الحكومية والعسكرية. وثيقة واحدة على سبيل المثال كانت تسمى "Parliament_rew.xlsx" ويبدو أنها كانت تستهدف الموظفين العاملين في حكومة البلد المستهدف. وكان آخر يحمل اسمًا ويحتوي على نص يتعلق بالميزانيات العسكرية لعامي 2022 و 2023.
تمكن باحثو Trellix من تحديد جهازي كمبيوتر مضيفين تم استخدامهما في هجمات APT28. كان لدى أحد المضيفين عنوان IP تم حله إلى صربيا بينما يبدو أن الآخر يقع في السويد. اكتشف Trellix أن خادم C2 بعنوان IP الصربي قد تم استخدامه لاستضافة ثغرة MSHTML وبيانات التثبيت لملف DLL للمرحلة الثانية. في غضون ذلك ، كان الخادم في السويد بمثابة مضيف لإطار خادم Empire للتحكم عن بُعد في العوامل المثبتة في الأنظمة المخترقة.
يُظهر تحليل تريليكس أن الاستعدادات للهجوم بدأت في يوليو 2021 وأن الهجمات نفسها حدثت بين سبتمبر ونوفمبر 2021. وتزامن توقيت الحملة مع فترة من التوترات السياسية حول الحدود الأرمنية والأذربيجانية ، مما يعني أن الهجمات كانت على الأرجح ذات دوافع جيوسياسية. ، قال تريليكس. قال بائع الأمن إنه أبلغ الضحايا بالهجمات وقدم لهم معلومات حول كيفية إزالة جميع مكونات الهجوم المعروفة من شبكتهم.
