Aktor ancaman tak dikenal menargetkan entitas pemerintah di Ukraina menjelang akhir tahun 2023 menggunakan eksploitasi eksekusi kode jarak jauh (RCE) Microsoft Office lama dari tahun 2017 (CVE-2017-8570) sebagai vektor awal dan kendaraan militer sebagai iming-imingnya.
Pelaku ancaman memulai serangan menggunakan file PowerPoint berbahaya (.PPSX) yang dikirim sebagai lampiran melalui pesan di platform perpesanan aman Signal. File ini, yang disamarkan sebagai manual instruksi lama oleh Angkatan Darat AS untuk bilah pembersih ranjau untuk tank, sebenarnya memiliki hubungan jarak jauh dengan skrip eksternal yang dihosting di domain penyedia server pribadi virtual (VPS) Rusia yang dilindungi oleh Cloudflare.
Skrip mengeksekusi eksploitasi CVE-2017-8570 untuk mencapai RCE, menurut a Entri blog Deep Instinct atas serangan minggu ini, dalam upaya mencuri informasi.
Di Balik Terpal Serangan Siber yang Rumit
Dalam hal seluk beluk teknis, skrip yang dikaburkan menyamar sebagai konfigurasi Cisco AnyConnect APN dan bertanggung jawab untuk mengatur persistensi, decoding, dan menyimpan muatan yang tertanam ke disk, yang terjadi dalam beberapa tahap untuk menghindari deteksi.
Payloadnya mencakup pustaka tautan dinamis (DLL) loader/packer bernama “vpn.sessings” yang memuat Cobalt Strike Beacon ke dalam memori dan menunggu instruksi dari server perintah-dan-kontrol (C2) penyerang.
Mark Vaitzman, pemimpin tim lab ancaman di Deep Instinct, mencatat bahwa alat pengujian penetrasi adalah Cobalt Strike sangat umum digunakan di kalangan pelaku ancaman, namun suar khusus ini menggunakan pemuat khusus yang mengandalkan beberapa teknik yang memperlambat analisis.
“Ini terus diperbarui untuk memberikan penyerang cara sederhana untuk bergerak ke samping setelah jejak awal ditetapkan,” katanya. “[Dan] itu diterapkan dalam beberapa teknik anti-analisis dan penghindaran yang unik.”
Vaitzman mencatat bahwa pada tahun 2022, CVE parah yang memungkinkan RCE ditemukan di Cobalt Strike — dan banyak peneliti memperkirakan bahwa pelaku ancaman akan mengubah alat tersebut untuk menciptakan alternatif sumber terbuka.
“Beberapa versi crack dapat ditemukan di forum peretasan bawah tanah,” katanya.
Di luar versi Cobalt Strike yang telah diubah, katanya, kampanye ini juga terkenal karena panjangnya upaya para pelaku ancaman untuk terus-menerus berusaha menyamarkan file dan aktivitas mereka sebagai operasi OS dan aplikasi umum yang sah dan rutin, agar tetap tersembunyi dan mempertahankan kendali. mesin yang terinfeksi selama mungkin. Dalam kampanye ini, katanya, para penyerang mengambil tindakan ini strategi “hidup dari lahan”. lebih lanjut.
“Kampanye penyerangan ini menunjukkan beberapa teknik penyamaran dan cara bertahan yang cerdas yang belum terdokumentasikan,” jelasnya, tanpa membeberkan rinciannya.
Grup Ancaman Siber Memiliki Merek & Model yang Tidak Diketahui
Ukraina telah menjadi sasaran oleh berbagai pelaku ancaman pada berbagai kesempatan selama perang dengan Rusia, dengan Kelompok Cacing Pasir berfungsi sebagai unit serangan cyber utama agresor.
Namun tidak seperti kebanyakan kampanye penyerangan selama perang, tim lab ancaman tidak dapat mengaitkan upaya ini dengan kelompok ancaman mana pun yang diketahui, yang mungkin menunjukkan bahwa ini adalah hasil kerja kelompok baru atau perwakilan dari seperangkat alat yang telah ditingkatkan sepenuhnya dari ancaman yang diketahui. aktor.
Mayuresh Dani, manajer penelitian keamanan di Unit Penelitian Ancaman Qualys, menunjukkan bahwa penggunaan sumber yang berbeda secara geografis untuk membantu pelaku ancaman menghilangkan atribusi juga mempersulit tim keamanan untuk memberikan perlindungan yang ditargetkan berdasarkan lokasi geografis.
“Sampel diunggah dari Ukraina, tahap kedua dihosting dan didaftarkan di bawah penyedia VPS Rusia, dan suar Cobalt [C2] didaftarkan di Warsawa, Polandia,” jelasnya.
Dia mengatakan bahwa hal yang menurutnya paling menarik tentang rantai serangan ini adalah bahwa kompromi awal dilakukan melalui aplikasi Signal yang aman.
"Para Signal messenger sebagian besar digunakan oleh personel yang berfokus pada keamanan atau mereka yang terlibat dalam penyebaran informasi rahasia, seperti jurnalis,” ujarnya.
Memperkuat Cyber Armor Dengan Kesadaran Keamanan, Manajemen Patch
Vaitzman mengatakan bahwa karena sebagian besar serangan siber dimulai dengan phishing atau pemikat tautan melalui email atau pesan, kesadaran siber karyawan yang lebih luas memainkan peran penting dalam memitigasi upaya serangan tersebut.
Dan untuk tim keamanan, “Kami juga menyarankan untuk memindai IoC yang disediakan di jaringan, serta memastikan bahwa Office telah di-patch ke versi terbaru,” kata Vaitzman.
Callie Guenther, manajer senior penelitian ancaman siber di Critical Start, mengatakan bahwa dari perspektif pertahanan, ketergantungan pada eksploitasi lama juga menekankan pentingnya sistem manajemen patch yang kuat.
“Selain itu, kecanggihan serangan ini menggarisbawahi perlunya mekanisme deteksi canggih yang lebih dari itu pendekatan pertahanan siber berbasis tanda tangan,” katanya, “menggabungkan deteksi perilaku dan anomali untuk mengidentifikasi perangkat lunak berbahaya yang dimodifikasi.”
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.darkreading.com/cyberattacks-data-breaches/military-tank-manual-zero-day-ukraine-cyberattack
