Un autore di minacce sconosciuto ha preso di mira enti governativi in Ucraina verso la fine del 2023 utilizzando un vecchio exploit RCE (Remote Code Execution) di Microsoft Office del 2017 (CVE-2017-8570) come vettore iniziale e veicoli militari come esca.
L'autore della minaccia ha avviato l'attacco utilizzando un file PowerPoint dannoso (.PPSX) inviato come allegato tramite un messaggio sulla piattaforma di messaggistica sicura Signal. Questo file, mascherato da vecchio manuale di istruzioni dell'esercito americano per lame sminatrici per carri armati, aveva in realtà una relazione remota con uno script esterno ospitato su un dominio di un provider di server privato virtuale russo (VPS) protetto da Cloudflare.
Lo script ha eseguito l'exploit CVE-2017-8570 per ottenere RCE, secondo a Post del blog sull'Istinto Profondo all'attacco questa settimana, nel tentativo di rubare informazioni.
Dietro le quinte di un complicato attacco informatico
In termini tecnici, lo script offuscato si mascherava da configurazione APN di Cisco AnyConnect ed era responsabile dell'impostazione della persistenza, della decodifica e del salvataggio del payload incorporato su disco, operazione che avveniva in più fasi per eludere il rilevamento.
Il payload include una libreria di collegamento dinamico (DLL) di caricamento/packer denominata "vpn.sessings" che carica un Cobalt Strike Beacon in memoria e attende istruzioni dal server di comando e controllo (C2) dell'aggressore.
Mark Vaitzman, leader del team del laboratorio di minacce presso Deep Instinct, osserva che lo strumento di test di penetrazione Cobalt Strike lo è molto comunemente usato tra gli autori di minacce, ma questo particolare beacon utilizza un caricatore personalizzato che si basa su diverse tecniche che rallentano l'analisi.
"Viene aggiornato continuamente per fornire agli aggressori un modo semplice per spostarsi lateralmente una volta impostata l'impronta iniziale", afferma. "[E] è stato implementato in diverse tecniche anti-analisi e di evasione uniche."
Vaitzman osserva che nel 2022 in Cobalt Strike è stato trovato un grave CVE che consente RCE e molti ricercatori hanno previsto che gli autori delle minacce avrebbero alterato lo strumento per creare alternative open source.
"Diverse versioni crackate possono essere trovate nei forum di hacking clandestini", afferma.
Al di là della versione modificata di Cobalt Strike, afferma, la campagna è degna di nota anche per la misura in cui gli autori delle minacce tentano continuamente di mascherare i propri file e le proprie attività come operazioni legittime di sistema operativo e applicazioni comuni, per rimanere nascosti e mantenere il controllo. delle macchine infette il più a lungo possibile. In questa campagna, dice, gli aggressori hanno preso questo Strategia del “vivere dei frutti della terra”. ulteriormente.
"Questa campagna di attacco mostra diverse tecniche di mascheramento e un modo intelligente di persistenza che non è stato ancora documentato", spiega, senza divulgare dettagli.
Il gruppo di minacce informatiche ha marca e modello sconosciuti
L'Ucraina è stata presa di mira da molteplici attori di minacce in più occasioni durante la guerra con la Russia, con il Gruppo dei vermi delle sabbie fungendo da unità primaria di attacco informatico dell'aggressore.
Ma a differenza della maggior parte delle campagne di attacco durante la guerra, il team del laboratorio delle minacce non è riuscito a collegare questo sforzo a nessun gruppo di minacce noto, il che potrebbe indicare che si tratta del lavoro di un nuovo gruppo o di un rappresentante di un set di strumenti completamente aggiornato di una minaccia nota. attore.
Mayuresh Dani, responsabile della ricerca sulla sicurezza presso Qualys Threat Research Unit, sottolinea che l'uso di fonti geograficamente disparate per aiutare gli autori delle minacce a dissipare l'attribuzione rende difficile per i team di sicurezza fornire una protezione mirata in base alle posizioni geografiche.
"Il campione è stato caricato dall'Ucraina, la seconda fase è stata ospitata e registrata presso un provider VPS russo e il faro Cobalt [C2] è stato registrato a Varsavia, in Polonia", spiega.
Dice che ciò che ha trovato più interessante nella catena di attacco è stato il fatto che il compromesso iniziale è stato raggiunto tramite l'app sicura Signal.
"La Signal Messenger è stato ampiamente utilizzato dal personale concentrato sulla sicurezza o coloro che sono coinvolti nella condivisione di informazioni clandestine, come i giornalisti”, osserva.
Rinforza l'armatura informatica con consapevolezza della sicurezza e gestione delle patch
Vaitzman afferma che, poiché la maggior parte degli attacchi informatici inizia con il phishing o l'adescamento di collegamenti tramite e-mail o messaggi, una più ampia consapevolezza informatica dei dipendenti gioca un ruolo importante nel mitigare tali tentativi di attacco.
E per i team di sicurezza: "Consigliamo inoltre di eseguire la scansione degli IoC forniti nella rete, oltre ad assicurarsi che Office sia aggiornato alla versione più recente", afferma Vaitzman.
Callie Guenther, senior manager della ricerca sulle minacce informatiche presso Critical Start, afferma che dal punto di vista della difesa, la dipendenza da exploit più vecchi sottolinea anche l’importanza di robusti sistemi di gestione delle patch.
“Inoltre, la sofisticatezza dell’attacco sottolinea la necessità di meccanismi di rilevamento avanzati che vadano oltre approcci di difesa informatica basati su firme", afferma, "incorporando comportamenti e rilevamento di anomalie per identificare software dannoso modificato".
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/cyberattacks-data-breaches/military-tank-manual-zero-day-ukraine-cyberattack
