Bei der vermutlich ersten bekannten Anwendung dieser Taktik nutzt ein fortgeschrittener Akteur hartnäckiger Bedrohungen Microsoft OneDrive-Dienste für Command-and-Control-Zwecke (C2) in einer ausgeklügelten Cyberspionage-Kampagne, die sich an hochrangige Vertreter der Regierung und der Verteidigungsindustrie richtet Westasiatische Nation.
Forscher von Trellix, die die Kampagne verfolgt haben, haben sie mit geringem bis mittlerem Vertrauen APT28, auch bekannt als Fancy Bear, zugeschrieben, einem Bedrohungsakteur, den die US-Regierung zuvor mit dem russischen Militärgeheimdienst in Verbindung gebracht hat. Trellix' Analyse von Daten im Zusammenhang mit der Kampagne zeigt, dass die Bedrohungsakteure auch Verteidigungs- und Regierungsbehörden in Polen und anderen osteuropäischen Ländern im Visier haben.
Die Infektionskette für die mehrstufige, wahrscheinlich APT28-Kampagne, die Trellix beobachtete, begann wie viele andere APT-Kampagnen – mit der Ausführung einer bösartigen Excel-Datei, die wahrscheinlich über eine Phishing-E-Mail an das Ziel gesendet wurde. Die Datei enthielt einen Exploit für CVE-2021-40444, eine kritische Sicherheitsanfälligkeit bezüglich Remotecodeausführung in MSHTML oder „Trident“, der proprietären Browser-Engine von Microsoft. Die Schwachstelle war ein Zero-Day-Fehler – was bedeutet, dass kein Patch dafür verfügbar war – als Microsoft gab es letzten September bekannt inmitten von Berichten über aktive Exploit-Aktivitäten.
Der Exploit des Angreifers für den MSHTML-Fehler führte dazu, dass eine bösartige DLL-Datei (Dynamic Link Library) im Speicher des kompromittierten Systems ausgeführt und eine Malware-Komponente der dritten Stufe heruntergeladen wurde, die von Trellix „Graphite“ genannt wurde. Die Analyse des Sicherheitsanbieters von Graphite zeigte, dass es Microsoft OneDrive-Konten als C2-Server über die Microsoft Graph-API verwendet – eine Programmierschnittstelle für Webanwendungen für den Zugriff auf Microsoft Cloud-Dienste.
Trellix stellte fest, dass die Graphite-Malware selbst eine ausführbare DLL-Datei war, die auf dem Open-Source-Framework Empire für die Fernverwaltung nach der Ausbeutung basierte und darauf ausgelegt war, vollständig im Arbeitsspeicher zu laufen und niemals auf die Festplatte geschrieben zu werden. Die Malware war Teil einer mehrstufigen Infektionskette, die schließlich dazu führte, dass ein Empire-Agent auf das eingeschlossene System heruntergeladen und zur Fernsteuerung verwendet wurde.
Christiaan Beek, leitender Wissenschaftler bei Trellix, sagt, dass der neue C2-Mechanismus des Bedrohungsakteurs, der einen Cloud-Dienst verwendet, ein interessanter Schritt war und etwas, das die Forscher des Unternehmens zuvor noch nicht beobachtet haben. „Die Verwendung von Microsoft OneDrive als Command-and-Control-Servermechanismus war eine Überraschung, eine neuartige Möglichkeit, schnell mit den infizierten Computern zu interagieren“, sagt er.
Die Taktik ermöglichte es Angreifern, verschlüsselte Befehle in die Ordner des Opfers zu ziehen. OneDrive würde dann mit den Computern des Opfers synchronisiert und die verschlüsselten Befehle würden ausgeführt, wonach alle angeforderten Informationen verschlüsselt und an das OneDrive des Angreifers zurückgesendet würden, sagt Beek.
Verbindungen zu Russlands APT28
Der mehrstufige Angriff und die Art und Weise, wie er ausgeführt wurde, sollten es den Verteidigern schwer machen, zu erkennen, was vor sich ging. Trotzdem sollten Organisationen mit richtig konfigurierten Erkennungssystemen in der Lage sein, böswillige Aktivitäten zu erkennen. „Obwohl alle Arten von „Leben außerhalb des Landes“-Techniken verwendet werden, um unter dem Radar zu bleiben, müssen Angreifer intern mit Systemen kommunizieren und Befehle ausführen, die die richtig konfigurierte XDR-Technologie auslösen sollten“, sagt Beek.
Köderdokumente und andere Telemetriedaten im Zusammenhang mit der APT28-Kampagne zeigten, dass der Angreifer an staatlichen und militärischen Zielen interessiert war. Ein Dokument zum Beispiel hieß „parliament_rew.xlsx“ und richtete sich offenbar an Mitarbeiter, die für die Regierung des Ziellandes arbeiteten. Ein anderer hatte einen Namen und enthielt einen Text zu den Militärbudgets für 2022 und 2023.
Die Forscher von Trellix konnten zwei Host-Computer identifizieren, die bei den Angriffen von APT28 verwendet wurden. Einer der Hosts hatte eine IP-Adresse, die nach Serbien aufgelöst wurde, während der andere anscheinend in Schweden ansässig war. Trellix fand heraus, dass der C2-Server mit der serbischen IP-Adresse verwendet wurde, um den Exploit für die MSHTML-Schwachstelle und Installationsdaten für die DLL der zweiten Stufe zu hosten. Der Server in Schweden diente derweil als Host für das Empire-Server-Framework zur Fernsteuerung von Agenten, die in kompromittierten Systemen installiert sind.
Die Analyse von Trellix zeigt, dass die Vorbereitungen für den Angriff im Juli 2021 begannen und die Angriffe selbst zwischen September und November 2021 stattfanden. Der Zeitpunkt der Kampagne fiel mit einer Zeit politischer Spannungen an der armenischen und aserbaidschanischen Grenze zusammen, was bedeutet, dass die Angriffe wahrscheinlich geopolitisch motiviert waren , sagte Trellix. Der Sicherheitsanbieter sagte, er habe die Opfer über die Angriffe informiert und ihnen Informationen darüber bereitgestellt, wie sie alle bekannten Angriffskomponenten aus ihrem Netzwerk entfernen können.
- Coinsmart. Europas beste Bitcoin- und Krypto-Börse.
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. DEN FREIEN ZUGANG.
- CryptoHawk. Altcoin-Radar. Kostenlose Testphase.
- Quelle: https://www.darkreading.com/attacks-breaches/threat-actors-use-microsoft-onedrive-for-command-and-control-in-attack-campaign
