استهدف ممثل تهديد غير معروف الكيانات الحكومية في أوكرانيا في نهاية عام 2023 باستخدام برنامج Microsoft Office القديم لتنفيذ التعليمات البرمجية عن بعد (RCE) منذ عام 2017 (CVE-2017-8570) باعتبارها الناقل الأولي والمركبات العسكرية كإغراء.
بدأ ممثل التهديد الهجوم باستخدام ملف PowerPoint ضار (.PPSX) تم إرساله كمرفق عبر رسالة على منصة المراسلة الآمنة Signal. هذا الملف، الذي تنكر في شكل دليل تعليمات قديم من قبل الجيش الأمريكي لشفرات إزالة الألغام للدبابات، كان له في الواقع علاقة بعيدة بنص خارجي مستضاف على نطاق مزود خادم افتراضي خاص روسي (VPS) محمي بواسطة Cloudflare.
قام البرنامج النصي بتنفيذ استغلال CVE-2017-8570 لتحقيق RCE، وفقًا لما ذكره أ مشاركة مدونة Deep Instinct في الهجوم هذا الأسبوع، في محاولة لسرقة المعلومات.
تحت غطاء محرك السيارة من هجوم إلكتروني صعب
فيما يتعلق بالتفاصيل التقنية، فقد تم إخفاء البرنامج النصي المبهم كتكوين Cisco AnyConnect APN وكان مسؤولاً عن ضبط الثبات وفك التشفير وحفظ الحمولة المضمنة على القرص، وهو ما حدث على عدة مراحل لتجنب الكشف.
تشتمل الحمولة على مكتبة ارتباط ديناميكي (DLL) للتحميل/التعبئة تسمى "vpn.sessings" والتي تقوم بتحميل Cobalt Strike Beacon في الذاكرة وتنتظر التعليمات من خادم الأوامر والتحكم (C2) الخاص بالمهاجم.
يشير مارك فايتسمان، قائد فريق مختبر التهديدات في Deep Instinct، إلى أن أداة اختبار الاختراق Cobalt Strike هي يشيع استخدامها بين الجهات التهديدية، ولكن هذه الإشارة تحديدًا تستخدم مُحملًا مخصصًا يعتمد على العديد من التقنيات التي تعمل على إبطاء عملية التحليل.
ويقول: "يتم تحديثه باستمرار لتزويد المهاجمين بطريقة بسيطة للتحرك أفقيًا بمجرد تعيين البصمة الأولية". "[و] تم تنفيذه في العديد من تقنيات مكافحة التحليل والتهرب الفريدة."
يشير فايتسمان إلى أنه في عام 2022، تم العثور على فيروس CVE خطير يسمح بـ RCE في Cobalt Strike - وتوقع العديد من الباحثين أن الجهات الفاعلة في مجال التهديد ستغير الأداة لإنشاء بدائل مفتوحة المصدر.
ويقول: "يمكن العثور على العديد من الإصدارات المتصدعة في منتديات القرصنة السرية".
بالإضافة إلى النسخة المعدلة من Cobalt Strike، كما يقول، تتميز الحملة أيضًا بالمدى الذي تحاول فيه جهات التهديد باستمرار إخفاء ملفاتها وأنشطتها كنظام تشغيل روتيني مشروع وعمليات تطبيقات مشتركة، لتظل مخفية وتحافظ على السيطرة. من الأجهزة المصابة لأطول فترة ممكنة. ويقول إن المهاجمين أخذوا هذا في هذه الحملة استراتيجية "العيش خارج الأرض". أبعد من ذلك.
وأوضح أن "هذه الحملة الهجومية تظهر عدة أساليب تنكرية وطريقة ذكية في الإصرار لم يتم توثيقها بعد"، من دون الكشف عن تفاصيل.
مجموعة التهديدات السيبرانية لها طراز وطراز غير معروفين
تم استهداف أوكرانيا من قبل جهات تهديد متعددة في مناسبات متعددة خلال حربها مع روسيا مجموعة الدودة الرملية بمثابة وحدة الهجوم السيبراني الأساسية للمعتدي.
ولكن على عكس معظم حملات الهجوم أثناء الحرب، لم يتمكن فريق مختبر التهديدات من ربط هذا الجهد بأي مجموعة تهديد معروفة، مما قد يشير إلى أن هذا عمل مجموعة جديدة أو ممثل لمجموعة أدوات تمت ترقيتها بالكامل لتهديد معروف الممثل.
يشير مايورش داني، مدير الأبحاث الأمنية في وحدة أبحاث التهديدات في Qualys، إلى أن استخدام مصادر متباينة جغرافيًا لمساعدة الجهات الفاعلة في التهديد على تبديد الإسناد يجعل من الصعب أيضًا على الفرق الأمنية توفير الحماية المستهدفة بناءً على المواقع الجغرافية.
ويوضح قائلاً: "تم تحميل العينة من أوكرانيا، وتمت استضافة المرحلة الثانية وتسجيلها تحت مزود خدمة VPS روسي، وتم تسجيل منارة الكوبالت [C2] في وارسو، بولندا".
ويقول إن ما وجده أكثر إثارة للاهتمام بشأن سلسلة الهجمات هو أن التسوية الأولية تم إنجازها عبر تطبيق Signal الآمن.
"إن لقد تم استخدام برنامج Signal messenger إلى حد كبير من قبل الموظفين الذين يركزون على الأمن أو أولئك الذين يشاركون في تبادل المعلومات السرية، مثل الصحفيين”.
تعزيز الدرع السيبراني من خلال الوعي الأمني وإدارة التصحيحات
يقول فايتسمان إنه نظرًا لأن معظم الهجمات الإلكترونية تبدأ بالتصيد الاحتيالي أو جذب الروابط عبر رسائل البريد الإلكتروني أو الرسائل النصية، فإن الوعي الإلكتروني الأوسع للموظفين يلعب دورًا مهمًا في التخفيف من محاولات الهجوم هذه.
وبالنسبة لفرق الأمان، "نوصي أيضًا بالبحث عن بطاقات IoC المتوفرة في الشبكة، بالإضافة إلى التأكد من تصحيح Office إلى الإصدار الأحدث"، كما يقول فايتسمان.
تقول كالي غوينثر، المدير الأول لأبحاث التهديدات السيبرانية في Critical Start، إنه من منظور دفاعي، فإن الاعتماد على الثغرات القديمة يؤكد أيضًا على أهمية أنظمة إدارة التصحيح القوية.
"بالإضافة إلى ذلك، فإن تعقيد الهجوم يسلط الضوء على الحاجة إلى آليات كشف متقدمة تتجاوز الحدود نهج الدفاع السيبراني القائم على التوقيع"، كما تقول، "يدمج السلوك والكشف عن الحالات الشاذة لتحديد البرامج الضارة المعدلة."
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/cyberattacks-data-breaches/military-tank-manual-zero-day-ukraine-cyberattack
