एक अज्ञात धमकी देने वाले अभिनेता ने 2023 के पुराने माइक्रोसॉफ्ट ऑफिस रिमोट कोड निष्पादन (आरसीई) शोषण का उपयोग करके 2017 के अंत में यूक्रेन में सरकारी संस्थाओं को निशाना बनाया (CVE-2017-8570) प्रारंभिक वेक्टर के रूप में और सैन्य वाहन आकर्षण के रूप में।
धमकी देने वाले अभिनेता ने सुरक्षित मैसेजिंग प्लेटफ़ॉर्म सिग्नल पर एक संदेश के माध्यम से अनुलग्नक के रूप में भेजी गई एक दुर्भावनापूर्ण पावरपॉइंट फ़ाइल (.PPSX) का उपयोग करके हमले की शुरुआत की। यह फ़ाइल, जिसे टैंकों के लिए माइन-क्लियरिंग ब्लेड के लिए अमेरिकी सेना द्वारा एक पुराने अनुदेश पुस्तिका के रूप में प्रस्तुत किया गया था, वास्तव में क्लाउडफ्लेयर द्वारा संरक्षित रूसी वर्चुअल प्राइवेट सर्वर (वीपीएस) प्रदाता डोमेन पर होस्ट की गई एक बाहरी स्क्रिप्ट से एक दूरस्थ संबंध था।
एक के अनुसार, स्क्रिप्ट ने RCE प्राप्त करने के लिए CVE-2017-8570 शोषण को निष्पादित किया डीप इंस्टिंक्ट ब्लॉग पोस्ट जानकारी चुराने के प्रयास में, इस सप्ताह हमले पर।
एक पेचीदा साइबर हमले की आड़ में
तकनीकी बारीकियों के संदर्भ में, अस्पष्ट स्क्रिप्ट को सिस्को एनीकनेक्ट एपीएन कॉन्फ़िगरेशन के रूप में प्रस्तुत किया गया था और यह दृढ़ता स्थापित करने, डिकोड करने और एम्बेडेड पेलोड को डिस्क पर सहेजने के लिए जिम्मेदार था, जो पता लगाने से बचने के लिए कई चरणों में हुआ।
पेलोड में "vpn.sessings" नामक एक लोडर/पैकर डायनेमिक लिंक लाइब्रेरी (DLL) शामिल है जो कोबाल्ट स्ट्राइक बीकन को मेमोरी में लोड करता है और हमलावर के कमांड-एंड-कंट्रोल (C2) सर्वर से निर्देशों का इंतजार करता है।
डीप इंस्टिंक्ट में थ्रेट लैब टीम लीडर मार्क वेट्ज़मैन का कहना है कि कोबाल्ट स्ट्राइक पैठ परीक्षण उपकरण है ख़तरनाक अभिनेताओं के बीच बहुत आम तौर पर उपयोग किया जाता है, लेकिन यह विशेष बीकन एक कस्टम लोडर का उपयोग करता है जो कई तकनीकों पर निर्भर करता है जो विश्लेषण को धीमा कर देते हैं।
वे कहते हैं, "प्रारंभिक पदचिह्न सेट होने के बाद हमलावरों को पार्श्व में स्थानांतरित करने का एक आसान तरीका प्रदान करने के लिए इसे लगातार अद्यतन किया जाता है।" "[और] इसे कई विश्लेषण-विरोधी और अद्वितीय चोरी तकनीकों में लागू किया गया था।"
वेट्ज़मैन ने नोट किया कि 2022 में, कोबाल्ट स्ट्राइक में आरसीई की अनुमति देने वाला एक गंभीर सीवीई पाया गया था - और कई शोधकर्ताओं ने भविष्यवाणी की थी कि खतरे वाले कलाकार ओपन सोर्स विकल्प बनाने के लिए टूल को बदल देंगे।
वह कहते हैं, ''कई क्रैक किए गए संस्करण भूमिगत हैकिंग मंचों पर पाए जा सकते हैं।''
वे कहते हैं, कोबाल्ट स्ट्राइक के संशोधित संस्करण के अलावा, यह अभियान उस लंबाई के लिए भी उल्लेखनीय है, जिसमें धमकी देने वाले अभिनेता लगातार अपनी फ़ाइलों और गतिविधियों को एक वैध, नियमित ओएस और सामान्य एप्लिकेशन संचालन के रूप में छिपाने का प्रयास करते हैं, ताकि वे छिपे रहें और नियंत्रण बनाए रखें। जब तक संभव हो संक्रमित मशीनों का उपयोग करें। उनका कहना है कि इस अभियान में हमलावर इसे ले गए "जमीन से दूर रहना" रणनीति आगे.
"यह हमला अभियान कई छद्म तकनीकों और दृढ़ता का एक स्मार्ट तरीका दिखाता है जिसे अभी तक प्रलेखित नहीं किया गया है," वह विवरण प्रकट किए बिना बताते हैं।
साइबरथ्रेट ग्रुप का मेक और मॉडल अज्ञात है
यूक्रेन को निशाना बनाया गया है रूस के साथ युद्ध के दौरान कई मौकों पर कई ख़तरनाक अभिनेताओं द्वारा सैंडवॉर्म समूह हमलावर की प्राथमिक साइबर हमले इकाई के रूप में सेवा करना।
लेकिन युद्ध के दौरान अधिकांश हमले अभियानों के विपरीत, खतरा प्रयोगशाला टीम इस प्रयास को किसी भी ज्ञात खतरा समूह से नहीं जोड़ सकी, जो यह संकेत दे सकती है कि यह एक नए समूह या ज्ञात खतरे के पूरी तरह से उन्नत उपकरण सेट के प्रतिनिधि का काम है अभिनेता।
क्वालिस थ्रेट रिसर्च यूनिट में सुरक्षा अनुसंधान के प्रबंधक मयूरेश दानी बताते हैं कि खतरे को दूर करने में मदद करने के लिए भौगोलिक रूप से भिन्न स्रोतों के उपयोग से सुरक्षा टीमों के लिए भौगोलिक स्थानों के आधार पर लक्षित सुरक्षा प्रदान करना भी मुश्किल हो जाता है।
"नमूना यूक्रेन से अपलोड किया गया था, दूसरे चरण की मेजबानी और एक रूसी वीपीएस प्रदाता के तहत पंजीकृत किया गया था, और कोबाल्ट बीकन [सी2] वारसॉ, पोलैंड में पंजीकृत किया गया था," वह बताते हैं।
उनका कहना है कि हमले की श्रृंखला के बारे में उन्हें जो सबसे दिलचस्प लगा वह यह था कि शुरुआती समझौता सुरक्षित सिग्नल ऐप के माध्यम से पूरा किया गया था।
" सिग्नल मैसेंजर का उपयोग बड़े पैमाने पर सुरक्षा-केंद्रित कर्मियों द्वारा किया गया है या वे जो गुप्त जानकारी साझा करने में शामिल हैं, जैसे पत्रकार,'' उन्होंने कहा।
सुरक्षा जागरूकता, पैच प्रबंधन के साथ साइबर कवच को मजबूत करें
वेट्ज़मैन का कहना है कि क्योंकि अधिकांश साइबर हमले ईमेल या संदेशों के माध्यम से फ़िशिंग या लिंक-ल्यूरिंग से शुरू होते हैं, व्यापक कर्मचारी साइबर जागरूकता ऐसे हमले के प्रयासों को कम करने में महत्वपूर्ण भूमिका निभाती है।
और सुरक्षा टीमों के लिए, "हम नेटवर्क में उपलब्ध कराए गए IoCs को स्कैन करने की भी सलाह देते हैं, साथ ही यह सुनिश्चित करते हैं कि Office नवीनतम संस्करण से जुड़ा हुआ है," वेट्ज़मैन कहते हैं।
क्रिटिकल स्टार्ट में साइबर खतरा अनुसंधान के वरिष्ठ प्रबंधक कैली गेंथर का कहना है कि रक्षा दृष्टिकोण से, पुराने कारनामों पर निर्भरता भी मजबूत पैच प्रबंधन प्रणालियों के महत्व पर जोर देती है।
“इसके अतिरिक्त, हमले की परिष्कार उन्नत पहचान तंत्र की आवश्यकता को रेखांकित करती है जो इससे आगे जाते हैं हस्ताक्षर-आधारित साइबर-रक्षा दृष्टिकोण," वह कहती हैं, "संशोधित दुर्भावनापूर्ण सॉफ़्टवेयर की पहचान करने के लिए व्यवहार और विसंगति का पता लगाना शामिल है।"
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/cyberattacks-data-breaches/military-tank-manual-zero-day-ukraine-cyberattack
