Zephyrnet-logotyp

Generativ dataintelligens

Cybersäkerhet

Kina-stödda APT Pwns byggnadsautomationssystem med ProxyLogon

Återutgiven av Platon
Återutgiven av Platon

Datum:

Visningar: 42

Ett kinesisktalande avancerat persistent hot (APT) utnyttjar ProxyLogon Microsoft Exchange-sårbarheten för att distribuera ShadowPad malware, sa forskare - med slutmålet att ta över byggnadsautomationssystem (BAS) och flytta djupare in i nätverk.

Det säger forskare vid Kaspersky ICS CERT, som sa att infektionerna påverkade industriella kontrollsystem (ICS) och telekomföretag i Afghanistan och Pakistan, samt en logistik- och transportorganisation i Malaysia. Attackerna uppdagades i oktober men verkar ha gått tillbaka till mars 2021.

"Vi tror att det är mycket troligt att denna hotaktör kommer att slå till igen och vi kommer att hitta nya offer i olika länder", enligt Kasperskys måndagsanalys.

I denna specifika ström av attacker observerade Kaspersky en unik uppsättning taktiker, tekniker och procedurer (TTP) som länkade samman incidenterna, inklusive angripare som äventyrade BAS-teknikdatorer som deras första åtkomstpunkt. 

"BAS-nätverk består vanligtvis av BAS-utrustning och datorer från BAS-ingenjörer (som vanligtvis har omfattande tillgång inte bara till BAS, utan även till företagsnätverket och ibland även till OT/ICS [operativteknik/industriell styrsystem]), Kirill Kruglov , säkerhetsexpert på Kaspersky ICS CERT, säger till Dark Reading. "Och samtidigt visar vår erfarenhet att datorer med BAS-teknik är (vanligtvis) mer sårbara/mindre skyddade."

Han tillägger, "I den här kampanjen har vi sett ett BAS-nätverk (av en telekom) som äventyras av hotaktörer som (som vi tror) ursprungligen riktade in sig på det telekomnätverket. Efter att ha äventyrat BAS-nätverket fick hotaktörer förmodligen mycket tillgång till system i BAS företagsnätverk på nolltid.”

Forskare noterade att detta är ett ovanligt drag för en APT-grupp, trots proof-of-concept skadlig programvara är tillgängliga för sådana plattformar.

"Byggnadsautomationssystem är sällsynta mål för avancerade hotaktörer", säger Kruglov. "Men de här systemen kan vara en värdefull källa till mycket konfidentiell information och kan ge angriparna en bakdörr till andra, mer säkrade områden av infrastruktur." 

Han tillägger, "Det här kan vara en situation där något hände av misstag och någon (hotaktör) så småningom kan inse hur effektiv en sådan taktik kan vara, så det kan bli en trend inom en nära framtid."

Attackerna hotar också den fysiska integriteten hos byggnader, varnade forskare. BAS infrastruktur förenar operativa funktioner, såsom el, belysning, HVAC-system, brandlarm och säkerhetskameror, så att de kan hanteras från en enda hanteringskonsol.

"När ett BAS väl har äventyrats är alla processer inom den i fara, inklusive de som rör informationssäkerhet", enligt Kasperskys uppmärksamma på attackerna.

I ett verkligt exempel på denna sällsynta typ av attack, i december förra året, ett ingenjörsföretag för byggnadsautomation plötsligt tappade kontakten med hundratals av sina BAS-enheter, inklusive ljusbrytare, rörelsedetektorer, slutarkontroller och andra — efter att ha låsts med systemets egen digitala säkerhetsnyckel, som angriparna kapade. Företaget var tvungen att återgå till att manuellt slå på och av de centrala strömbrytarna för att slå på lamporna i byggnaden.

ProxyLogon leder till ShadowPad Malware i smygande infektioner

I många fall utnyttjade cyberattackarna sårbarheten ProxyLogon remote code-execution (RCE) i MS Exchange (CVE-2021-26855), tillade företaget. När de används i en attackkedja kan utnyttjandet av dessa ProxyLogon tillåta en angripare att autentisera sig som Exchange-server och distribuera ett webbskal så att de kan fjärrstyra målservern.

ProxyLogon avslöjades i mars 2021 efter att ha utnyttjats som ett nolldagsfel av en kinesisk statssponsrad grupp som Microsoft kallar Hafnium - men snart en svindlande mängd hotgrupper staplade på för att utnyttja problemet för att möjliggöra olika typer av attacker.

I det här fallet, en gång i, distribuerar APT ShadowPad remote access Trojan (RAT) - en populär bakdörr och lastare som används av olika kinesiska APT:er. Enligt tidigare analys från Secureworks, ShadowPad är avancerad och modulär, som först utplacerades av hotgruppen "Bronze Atlas" 2017. "En växande lista över andra kinesiska hotgrupper har distribuerat det globalt sedan 2019 i attacker mot organisationer i olika branschvertikaler", noterade rapporten.

Kaspersky-forskare sa att i BAS-attackerna "laddades ShadowPad-bakdörren ner till de attackerade datorerna under sken av legitim programvara."

Närmare bestämt maskerades den skadliga programvaran ursprungligen som filen mscoree.dll, som är en Microsoft-biblioteksfil som är nödvändig för exekvering av "hanterad kod"-applikationer skrivna för användning med .NET Framework. Som sådan lanserades skadlig programvara av den legitima AppLaunch.exe-applikationen, som i sig kördes genom att skapa en uppgift i Windows Task Scheduler. Förra hösten gick angriparna över till att använda DLL-kapningstekniken i legitim programvara för visning av OLE-COM-objekt (OleView). Windows Task Scheduler används också i den nyare metoden. I båda fallen använder man sådana levande-off-the-land verktyg (dvs. legitim inbyggd programvara) betyder att aktiviteten sannolikt inte kommer att höja några flaggor för systemintrång.

Efter den första infektionen skickade angriparna först kommandon manuellt, sedan automatiskt, för att distribuera ytterligare verktyg. Forskare sa att de inkluderar följande:

  • Smakämnen CobaltStrike ramverk (för sidorörelse)
  • Mimikatz (för att stjäla referenser)
  • Den välkända PlugX RAT
  • BAT-filer (för att stjäla autentiseringsuppgifter)
  • Webbskal (för fjärråtkomst till webbservern)
  • Nextnet-verktyget (för att skanna nätverksvärdar)

"De funna artefakterna tyder på att angriparna stal domänautentiseringsuppgifter från minst ett konto i varje attackerad organisation (förmodligen från samma dator som användes för att penetrera nätverket)", enligt Kaspersky. "Dessa referenser användes för att ytterligare sprida attacken över nätverket ... vi vet inte det slutliga målet för angriparen. Vi tror att det förmodligen var datainsamling."

Hur man skyddar sig mot APT-attacker riktade mot BAS, kritisk infrastruktur

Attackerna utvecklas "extremt snabbt", sa Kaspersky, så tidig upptäckt och begränsning är nyckeln till att minimera skadorna. 

"BAS-säkerhet i allmänhet är vanligtvis mindre skyddad än IT- eller OT-nätverk, eftersom den har omfattande åtkomst och färre säkerhetskontroller/krav på plats", säger Kruglov. "Den huvudsakliga takeaway är leveranskedjans säkerhet. För ICS (liksom för IT) är det mycket viktigt att implementera säkerhetsåtgärder i lager som bör hantera attacker från leveranskedjan från BAS eller telekomnätverk.”

Forskarna rekommenderade följande bästa praxis för att skydda industriell infrastruktur, inklusive BAS-fotspår:

  • Uppdatera regelbundet operativsystem och all applikationsprogramvara som ingår i företagets nätverk. Tillämpa säkerhetskorrigeringar och korrigeringar på operativ-teknik (OT) nätverksutrustning som BAS, så snart de är tillgängliga.
  • Genomför regelbundna säkerhetsrevisioner av OT-system för att identifiera och eliminera möjliga sårbarheter.
  • Använd OT-nätverkstrafikövervakning, analys och detektionslösningar för bättre skydd mot attacker som potentiellt hotar OT-system och huvudsakliga företagstillgångar.
  • Ge dedikerad OT-säkerhetsutbildning för IT-säkerhetsteam och OT-ingenjörer.
  • Ge säkerhetsteamet som ansvarar för att skydda ICS med uppdaterad hotintelligens.
  • Använd säkerhetslösningar i lager för OT-slutpunkter och nätverk.
plats_img

Senaste intelligens

plats_img

Copyright @ 2024 Plato Technologies Inc.