Zephyrnet-logo

DragonForce Malaysia brengt LPE Exploit uit, bedreigt ransomware

Datum:

De hacktivistische groep DragonForce Malaysia heeft een exploit vrijgegeven waarmee Windows Server local privilege escalation (LPE) toegang kan verlenen tot local distribution router (LDR)-mogelijkheden. Het kondigde ook aan dat het ransomware-aanvallen aan zijn arsenaal toevoegt.

De groep plaatste op 23 juni een proof of concept (PoC) van de exploit op haar Telegram-kanaal, dat vervolgens werd gepubliceerd geanalyseerd door CloudSEK deze week. Hoewel er geen CVE bekend is voor de bug, beweert de groep dat de exploit kan worden gebruikt om authenticatie "op afstand in één seconde" te omzeilen om toegang te krijgen tot de LDR-laag, die wordt gebruikt om lokale netwerken op verschillende locaties van een organisatie met elkaar te verbinden.

De groep zegt dat het de exploit zou gebruiken in campagnes gericht op bedrijven die actief zijn in India, dat direct onder zijn stuurhuis valt. In de afgelopen drie maanden heeft DragonForce Malaysia verschillende campagnes gelanceerd gericht op tal van overheidsinstanties en organisaties in het Midden-Oosten en Azië.

"DragonForce Malaysia voegt toe aan een jaar dat lang zal worden herinnerd vanwege geopolitieke onrust", zegt Daniel Smith, hoofd onderzoek van Radware's cyber threat intelligence-divisie. "In combinatie met andere hacktivisten heeft de dreigingsgroep met succes de leegte opgevuld die door Anonymous is achtergelaten terwijl ze onafhankelijk is gebleven tijdens de heropleving van hacktivisten die verband houden met de Russisch-Oekraïense oorlog."

De meest recente, genaamd "OpsPatuk" en gelanceerd in juni, heeft al gezien dat verschillende overheidsinstanties en organisaties in het hele land het doelwit waren van datalekken en denial-of-service-aanvallen, met een aantal defacements van meer dan 100 websites.

"DragonForce Malaysia zal naar verwachting in de nabije toekomst doorgaan met het definiëren en lanceren van nieuwe reactionaire campagnes op basis van hun sociale, politieke en religieuze voorkeuren", zegt Smith. “De recente operaties van DragonForce Malaysia … moeten organisaties wereldwijd eraan herinneren dat ze in deze tijden waakzaam moeten blijven en zich ervan bewust moeten zijn dat er buiten de huidige cyberconflict in Oost-Europa. '

Waarom LPE op de patchradar zou moeten staan

Hoewel niet zo flitsend als uitvoering van externe code (RCE), LPE-exploits bieden een pad van een normale gebruiker naar SYSTEEM, in wezen het hoogste privilegeniveau in de Windows-omgeving. Als ze worden misbruikt, geven LPE-kwetsbaarheden niet alleen een aanvaller een stap in de deur, maar bieden ze ook lokale beheerdersrechten - en toegang tot de meest gevoelige gegevens op het netwerk.

Met dit verhoogde toegangsniveau kunnen aanvallers systeemwijzigingen doorvoeren, inloggegevens van opgeslagen services herstellen of inloggegevens herstellen van andere gebruikers die dat systeem gebruiken of hebben geverifieerd. Door de inloggegevens van andere gebruikers te herstellen, kan een aanvaller zich voordoen als die gebruikers, waardoor paden worden geboden voor zijwaartse beweging op een netwerk.

Met verhoogde privileges kan een aanvaller ook beheerderstaken uitvoeren, malware uitvoeren, gegevens stelen, een achterdeur uitvoeren om blijvende toegang te krijgen en nog veel meer.

Darshit Ashara, hoofdonderzoeker van bedreigingen voor CloudSEK, biedt een voorbeeld van een aanvalsscenario.

"De aanvaller van het team kan gemakkelijk misbruik maken van elke eenvoudige kwetsbaarheid op basis van webapplicaties om een ​​eerste voet aan de grond te krijgen en een op het web gebaseerde achterdeur te plaatsen", zegt Ashara. “Meestal heeft de machine waarop de webserver wordt gehost, gebruikersrechten. Dat is waar de LPE-exploit de dreigingsactor in staat zal stellen hogere privileges te krijgen en niet alleen een enkele website, maar ook andere websites die op de server worden gehost, in gevaar te brengen.”

LPE-exploits blijven vaak ongepatcht

Tim McGuffin, directeur van adversarial engineering bij LARES Consulting, een adviesbureau op het gebied van informatiebeveiliging, legt uit dat de meeste organisaties wachten met het patchen van LPE-exploits omdat ze doorgaans in eerste instantie toegang tot het netwerk of eindpunt nodig hebben.

"Er wordt veel aandacht besteed aan het aanvankelijk voorkomen van toegang, maar hoe verder je in de aanvalsketen komt, hoe minder aandacht er wordt besteed aan tactieken zoals privilege-escalatie, zijwaartse beweging en doorzettingsvermogen", zegt hij. "Deze patches krijgen doorgaans prioriteit en worden elk kwartaal gepatcht en gebruiken geen 'patch now'-noodprocedure."

Nicole Hoffman, senior cyberthreat intelligence-analist bij Digital Shadows, merkt op dat het belang van elke kwetsbaarheid anders is, of het nu LPE of RCE is.

“Niet alle kwetsbaarheden kunnen worden uitgebuit, waardoor niet elke kwetsbaarheid onmiddellijke aandacht behoeft. Het is een kwestie van geval tot geval”, zegt ze. “Verschillende LPE-kwetsbaarheden hebben andere afhankelijkheden, zoals het nodig hebben van een gebruikersnaam en wachtwoord om de aanval uit te voeren. Dat is niet onmogelijk te verkrijgen, maar vereist een hoger niveau van verfijning.”

Veel organisaties creëren ook lokale beheerdersaccounts voor individuele gebruikers, zodat ze alledaagse IT-functies kunnen uitvoeren, zoals het installeren van hun eigen software op hun eigen machines, voegt Hoffman toe.

"Als veel gebruikers lokale beheerdersrechten hebben, is het moeilijker om kwaadaardige lokale beheerdersacties in een netwerk te detecteren", zegt ze. "Het zou gemakkelijk zijn voor een aanvaller om op te gaan in normale operaties vanwege slechte beveiligingspraktijken die veel worden gebruikt."

Elke keer dat een exploit in het wild wordt vrijgegeven, legt ze uit, duurt het niet lang voordat cybercriminelen met verschillende niveaus van verfijning profiteren en opportunistische aanvallen uitvoeren.

"Een exploit haalt een deel van dit beenwerk weg", merkt ze op. "Het is realistisch mogelijk dat er al massaal wordt gescand op deze kwetsbaarheid."

Hoffman voegt eraan toe dat verticale privilege-escalatie meer verfijning vereist en doorgaans meer in lijn is met geavanceerde persistente dreigingsmethoden (APT).

DragonForce plannen verschuiving naar ransomware

In een video en via sociale-mediakanalen kondigde de hacktivistengroep ook haar plannen aan om te starten massale ransomware-aanvallen uitvoeren. Onderzoekers zeggen dat dit een aanvulling zou kunnen zijn op zijn hacktivistische activiteiten in plaats van een vertrek.

"DragonForce noemde het uitvoeren van wijdverbreide ransomware-aanvallen door gebruik te maken van de exploit die ze hebben gecreëerd", legt Hoffman uit. "De WannaCry ransomware-aanval was een goed voorbeeld van hoe wijdverbreide ransomware-aanvallen tegelijkertijd een uitdaging zijn als financieel gewin het einddoel is."

Ze wijst er ook op dat het niet ongebruikelijk is om deze aankondigingen van cybercriminele dreigingsgroepen te zien, omdat het de aandacht op de groep vestigt.

Vanuit het perspectief van McGuffin is de publieke aankondiging van een verschuiving in tactiek echter 'een curiositeit', vooral voor een hacktivistische groep.

"Hun motieven liggen misschien meer rond vernietiging en denial of service en minder rond het maken van winst zoals typische ransomware-groepen, maar ze kunnen de financiering gebruiken om hun hacktivistische capaciteiten of het bewustzijn van hun zaak te vergroten", zegt hij.

Ashara is het ermee eens dat de geplande verschuiving van DragonForce de moeite waard is om te benadrukken, aangezien het motief van de groep is om zoveel mogelijk impact te hebben, hun ideologie te stimuleren en hun boodschap te verspreiden.

"Daarom is de motivatie van de groep met de aankondiging van ransomware niet om financiële redenen, maar om schade aan te richten", zegt hij. "We hebben in het verleden soortgelijke wiper-malware gezien waarbij ze ransomware gebruikten en deden alsof de motivatie financieel was, maar de basismotivatie schade."

spot_img

Laatste intelligentie

spot_img