یک عامل تهدید ناشناس نهادهای دولتی در اوکراین را در اواخر سال 2023 با استفاده از یک سوء استفاده قدیمی مایکروسافت آفیس اجرای کد از راه دور (RCE) از سال 2017 هدف قرار داد.CVE-2017-8570) به عنوان بردار اولیه و وسایل نقلیه نظامی به عنوان فریب.

عامل تهدید با استفاده از یک فایل پاورپوینت مخرب (.PPSX) که به عنوان پیوست از طریق پیامی در پلت فرم پیام رسانی امن Signal ارسال شده بود، حمله را آغاز کرد. این فایل که به عنوان یک دستورالعمل قدیمی توسط ارتش ایالات متحده برای تیغه های مین پاک کن برای تانک ها ظاهر می شد، در واقع یک رابطه راه دور با یک اسکریپت خارجی میزبانی شده در دامنه ارائه دهنده سرور خصوصی مجازی روسی (VPS) محافظت شده توسط Cloudflare داشت.

طبق یک اسکریپت، اکسپلویت CVE-2017-8570 برای رسیدن به RCE پست وبلاگ Deep Instinct در حمله این هفته، در تلاش برای سرقت اطلاعات.

زیر کاپوت یک حمله سایبری روی حیله و تزویر

از نظر فنی، اسکریپت مبهم به صورت پیکربندی APN Cisco AnyConnect ظاهر می‌شود و مسئول تنظیم پایداری، رمزگشایی و ذخیره بار تعبیه‌شده روی دیسک بود که در چندین مرحله برای فرار از تشخیص اتفاق افتاد.

محموله شامل یک کتابخانه پیوند پویا بارگذار/پکر (DLL) به نام "vpn.sessings" است که یک Cobalt Strike Beacon را در حافظه بارگذاری می کند و منتظر دستورالعمل های سرور فرمان و کنترل (C2) مهاجم است.

مارک وایتزمن، رهبر تیم آزمایشگاه تهدید در Deep Instinct، خاطرنشان می کند که ابزار تست نفوذ Cobalt Strike است. بسیار رایج در میان عوامل تهدید استفاده می شود، اما این بیکن خاص از یک لودر سفارشی استفاده می کند که بر چندین تکنیک متکی است که تجزیه و تحلیل را کند می کند.

او می‌گوید: «این به طور مداوم به روز می‌شود تا به مهاجمان یک راه ساده برای حرکت جانبی پس از تعیین ردپای اولیه ارائه دهد. "[و] در چندین تکنیک ضد تحلیل و فرار منحصر به فرد اجرا شد."

وایتزمن خاطرنشان می کند که در سال 2022، یک CVE شدید که RCE را مجاز می کند در Cobalt Strike پیدا شد - و بسیاری از محققان پیش بینی کردند که عوامل تهدید این ابزار را برای ایجاد جایگزین های منبع باز تغییر می دهند.

او می گوید: «چند نسخه کرک شده را می توان در انجمن های هک زیرزمینی پیدا کرد.

او می‌گوید که فراتر از نسخه بهینه‌سازی‌شده Cobalt Strike، این کمپین همچنین به دلیل مدت‌هایی که عوامل تهدید به طور مداوم تلاش می‌کنند تا فایل‌ها و فعالیت‌های خود را به عنوان یک سیستم‌عامل معمولی و عملیات برنامه‌های کاربردی معمولی پنهان نگه دارند، قابل توجه است تا پنهان بماند و کنترل را حفظ کند. ماشین آلات آلوده تا زمانی که ممکن است. او می گوید در این کمپین، مهاجمان این را گرفتند استراتژی «زندگی در زمین» بیشتر است.

او بدون فاش کردن جزئیات توضیح می‌دهد: «این کمپین حمله چندین تکنیک پنهان‌کاری و یک روش هوشمندانه برای پایداری را نشان می‌دهد که هنوز مستند نشده است».

گروه Cyberthreat دارای برند و مدل ناشناس است

اوکراین هدف قرار گرفته است توسط چندین عامل تهدید در موارد متعدد در طول جنگ با روسیه، با روسیه گروه کرم شنی به عنوان واحد اصلی حمله سایبری متجاوز عمل می کند.

اما برخلاف اکثر کمپین‌های حمله در طول جنگ، تیم آزمایشگاه تهدید نتوانست این تلاش را به هیچ گروه تهدید شناخته‌شده مرتبط کند، که ممکن است نشان دهد که این کار یک گروه جدید یا نماینده یک مجموعه ابزار کاملاً ارتقا یافته از یک تهدید شناخته شده است. بازیگر

مایورش دانی، مدیر تحقیقات امنیتی در واحد تحقیقات تهدید Qualys، اشاره می‌کند که استفاده از منابع جغرافیایی متفاوت برای کمک به عاملان تهدید برای حذف اسناد، همچنین ایجاد حفاظت هدفمند بر اساس مکان‌های جغرافیایی را برای تیم‌های امنیتی دشوار می‌کند.

او توضیح می‌دهد: «نمونه از اوکراین آپلود شد، مرحله دوم تحت یک ارائه‌دهنده VPS روسی میزبانی و ثبت شد، و چراغ Cobalt [C2] در ورشو، لهستان ثبت شد.

او می‌گوید که آنچه در مورد زنجیره حمله جالب‌تر بود این بود که مصالحه اولیه از طریق برنامه امن سیگنال انجام شد.

" پیام رسان سیگنال تا حد زیادی توسط پرسنل متمرکز بر امنیت استفاده شده است یا کسانی که در به اشتراک گذاری اطلاعات مخفیانه نقش دارند، مانند روزنامه نگاران.

Beef Up Cyber ​​Armor با آگاهی امنیتی، مدیریت پچ

وایتزمن می گوید که از آنجایی که بیشتر حملات سایبری با فیشینگ یا فریب دادن لینک از طریق ایمیل یا پیام شروع می شود، آگاهی سایبری گسترده تر کارکنان نقش مهمی در کاهش چنین حملاتی ایفا می کند.

و برای تیم‌های امنیتی، وایتزمن می‌گوید: «ما همچنین توصیه می‌کنیم IoC‌های ارائه‌شده در شبکه را اسکن کنید، و همچنین مطمئن شوید که Office به آخرین نسخه وصله شده است».

Callie Guenther، مدیر ارشد تحقیقات تهدیدات سایبری در Critical Start، می‌گوید که از منظر دفاعی، اتکا به اکسپلویت‌های قدیمی‌تر نیز بر اهمیت سیستم‌های مدیریت پچ قوی تأکید می‌کند.

علاوه بر این، پیچیدگی حمله بر نیاز به مکانیسم‌های تشخیص پیشرفته که فراتر از آن است تأکید می‌کند. رویکردهای دفاع سایبری مبتنی بر امضااو می‌گوید، «ادغام رفتار و تشخیص ناهنجاری برای شناسایی نرم‌افزارهای مخرب اصلاح‌شده».

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/cyberattacks-data-breaches/military-tank-manual-zero-day-ukraine-cyberattack