یک عامل تهدید ناشناس نهادهای دولتی در اوکراین را در اواخر سال 2023 با استفاده از یک سوء استفاده قدیمی مایکروسافت آفیس اجرای کد از راه دور (RCE) از سال 2017 هدف قرار داد.CVE-2017-8570) به عنوان بردار اولیه و وسایل نقلیه نظامی به عنوان فریب.
عامل تهدید با استفاده از یک فایل پاورپوینت مخرب (.PPSX) که به عنوان پیوست از طریق پیامی در پلت فرم پیام رسانی امن Signal ارسال شده بود، حمله را آغاز کرد. این فایل که به عنوان یک دستورالعمل قدیمی توسط ارتش ایالات متحده برای تیغه های مین پاک کن برای تانک ها ظاهر می شد، در واقع یک رابطه راه دور با یک اسکریپت خارجی میزبانی شده در دامنه ارائه دهنده سرور خصوصی مجازی روسی (VPS) محافظت شده توسط Cloudflare داشت.
طبق یک اسکریپت، اکسپلویت CVE-2017-8570 برای رسیدن به RCE پست وبلاگ Deep Instinct در حمله این هفته، در تلاش برای سرقت اطلاعات.
زیر کاپوت یک حمله سایبری روی حیله و تزویر
از نظر فنی، اسکریپت مبهم به صورت پیکربندی APN Cisco AnyConnect ظاهر میشود و مسئول تنظیم پایداری، رمزگشایی و ذخیره بار تعبیهشده روی دیسک بود که در چندین مرحله برای فرار از تشخیص اتفاق افتاد.
محموله شامل یک کتابخانه پیوند پویا بارگذار/پکر (DLL) به نام "vpn.sessings" است که یک Cobalt Strike Beacon را در حافظه بارگذاری می کند و منتظر دستورالعمل های سرور فرمان و کنترل (C2) مهاجم است.
مارک وایتزمن، رهبر تیم آزمایشگاه تهدید در Deep Instinct، خاطرنشان می کند که ابزار تست نفوذ Cobalt Strike است. بسیار رایج در میان عوامل تهدید استفاده می شود، اما این بیکن خاص از یک لودر سفارشی استفاده می کند که بر چندین تکنیک متکی است که تجزیه و تحلیل را کند می کند.
او میگوید: «این به طور مداوم به روز میشود تا به مهاجمان یک راه ساده برای حرکت جانبی پس از تعیین ردپای اولیه ارائه دهد. "[و] در چندین تکنیک ضد تحلیل و فرار منحصر به فرد اجرا شد."
وایتزمن خاطرنشان می کند که در سال 2022، یک CVE شدید که RCE را مجاز می کند در Cobalt Strike پیدا شد - و بسیاری از محققان پیش بینی کردند که عوامل تهدید این ابزار را برای ایجاد جایگزین های منبع باز تغییر می دهند.
او می گوید: «چند نسخه کرک شده را می توان در انجمن های هک زیرزمینی پیدا کرد.
او میگوید که فراتر از نسخه بهینهسازیشده Cobalt Strike، این کمپین همچنین به دلیل مدتهایی که عوامل تهدید به طور مداوم تلاش میکنند تا فایلها و فعالیتهای خود را به عنوان یک سیستمعامل معمولی و عملیات برنامههای کاربردی معمولی پنهان نگه دارند، قابل توجه است تا پنهان بماند و کنترل را حفظ کند. ماشین آلات آلوده تا زمانی که ممکن است. او می گوید در این کمپین، مهاجمان این را گرفتند استراتژی «زندگی در زمین» بیشتر است.
او بدون فاش کردن جزئیات توضیح میدهد: «این کمپین حمله چندین تکنیک پنهانکاری و یک روش هوشمندانه برای پایداری را نشان میدهد که هنوز مستند نشده است».
گروه Cyberthreat دارای برند و مدل ناشناس است
اوکراین هدف قرار گرفته است توسط چندین عامل تهدید در موارد متعدد در طول جنگ با روسیه، با روسیه گروه کرم شنی به عنوان واحد اصلی حمله سایبری متجاوز عمل می کند.
اما برخلاف اکثر کمپینهای حمله در طول جنگ، تیم آزمایشگاه تهدید نتوانست این تلاش را به هیچ گروه تهدید شناختهشده مرتبط کند، که ممکن است نشان دهد که این کار یک گروه جدید یا نماینده یک مجموعه ابزار کاملاً ارتقا یافته از یک تهدید شناخته شده است. بازیگر
مایورش دانی، مدیر تحقیقات امنیتی در واحد تحقیقات تهدید Qualys، اشاره میکند که استفاده از منابع جغرافیایی متفاوت برای کمک به عاملان تهدید برای حذف اسناد، همچنین ایجاد حفاظت هدفمند بر اساس مکانهای جغرافیایی را برای تیمهای امنیتی دشوار میکند.
او توضیح میدهد: «نمونه از اوکراین آپلود شد، مرحله دوم تحت یک ارائهدهنده VPS روسی میزبانی و ثبت شد، و چراغ Cobalt [C2] در ورشو، لهستان ثبت شد.
او میگوید که آنچه در مورد زنجیره حمله جالبتر بود این بود که مصالحه اولیه از طریق برنامه امن سیگنال انجام شد.
" پیام رسان سیگنال تا حد زیادی توسط پرسنل متمرکز بر امنیت استفاده شده است یا کسانی که در به اشتراک گذاری اطلاعات مخفیانه نقش دارند، مانند روزنامه نگاران.
Beef Up Cyber Armor با آگاهی امنیتی، مدیریت پچ
وایتزمن می گوید که از آنجایی که بیشتر حملات سایبری با فیشینگ یا فریب دادن لینک از طریق ایمیل یا پیام شروع می شود، آگاهی سایبری گسترده تر کارکنان نقش مهمی در کاهش چنین حملاتی ایفا می کند.
و برای تیمهای امنیتی، وایتزمن میگوید: «ما همچنین توصیه میکنیم IoCهای ارائهشده در شبکه را اسکن کنید، و همچنین مطمئن شوید که Office به آخرین نسخه وصله شده است».
Callie Guenther، مدیر ارشد تحقیقات تهدیدات سایبری در Critical Start، میگوید که از منظر دفاعی، اتکا به اکسپلویتهای قدیمیتر نیز بر اهمیت سیستمهای مدیریت پچ قوی تأکید میکند.
علاوه بر این، پیچیدگی حمله بر نیاز به مکانیسمهای تشخیص پیشرفته که فراتر از آن است تأکید میکند. رویکردهای دفاع سایبری مبتنی بر امضااو میگوید، «ادغام رفتار و تشخیص ناهنجاری برای شناسایی نرمافزارهای مخرب اصلاحشده».
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/cyberattacks-data-breaches/military-tank-manual-zero-day-ukraine-cyberattack