未知の攻撃者は、2023 年の古い Microsoft Office リモート コード実行 (RCE) エクスプロイトを使用して、2017 年末にかけてウクライナの政府機関を標的にしました (CVE-2017-8570)を初期ベクトルとして、軍用車両をルアーとして使用します。
脅威アクターは、安全なメッセージング プラットフォーム Signal 上のメッセージを通じて添付ファイルとして送信された悪意のある PowerPoint ファイル (.PPSX) を使用して攻撃を開始しました。このファイルは、戦車の地雷除去ブレード用に米軍が作成した古い取扱説明書を装っていましたが、実際には、Cloudflareによって保護されているロシアの仮想プライベートサーバー(VPS)プロバイダードメインでホストされている外部スクリプトとリモート関係がありました。
によると、スクリプトは RCE を達成するために CVE-2017-8570 エクスプロイトを実行しました。 深い本能のブログ投稿 情報を盗むことを目的とした今週の攻撃について。
巧妙なサイバー攻撃の内部
技術的な核心に関して言えば、難読化されたスクリプトは Cisco AnyConnect APN 設定を装い、永続性の設定、デコード、埋め込みペイロードのディスクへの保存を担当していました。これは検出を回避するためにいくつかの段階で行われました。
ペイロードには、Cobalt Strike Beacon をメモリにロードし、攻撃者のコマンド アンド コントロール (C2) サーバーからの指示を待つ「vpn.sessings」という名前のローダー/パッカー ダイナミック リンク ライブラリ (DLL) が含まれています。
Deep Instinct の脅威ラボ チーム リーダーである Mark Vaitzman 氏は、侵入テスト ツール Cobalt Strike は 脅威アクターの間で非常に一般的に使用されていますただし、この特定のビーコンは、分析を遅くするいくつかの手法に依存するカスタム ローダーを利用しています。
「最初のフットプリントが設定されたら、攻撃者が横方向に移動する簡単な方法を提供するために継続的に更新されます」と彼は言います。 「[そして] いくつかの分析防止技術と独自の回避技術が実装されました。」
Vaitzman 氏は、2022 年に RCE を可能にする深刻な CVE が Cobalt Strike で発見されたと指摘しており、多くの研究者は、脅威アクターがこのツールを改変してオープンソースの代替手段を作成すると予測していました。
「地下のハッキング フォーラムではクラックされたバージョンがいくつか見つかります」と彼は言います。
同氏によると、このキャンペーンは、Cobalt Strike の微調整されたバージョン以外に、脅威アクターがファイルや活動を正規の日常的な OS や一般的なアプリケーションの操作に見せかけ、隠蔽されたまま制御を維持しようとする期間が長かったことでも注目に値します。感染したマシンを可能な限り長く除去します。このキャンペーンで、攻撃者はこれを盗んだと彼は言います 「土地で生きる」戦略 さらに。
「この攻撃キャンペーンには、まだ文書化されていないいくつかの偽装テクニックと巧妙な持続方法が示されています」と彼は詳細を明かさずに説明した。
サイバー脅威グループのメーカーとモデルは不明
ウクライナが狙われている ロシアとの戦争中、複数の機会に複数の脅威アクターによって、 サンドワームグループ 攻撃者の主要なサイバー攻撃部隊として機能します。
しかし、戦時中のほとんどの攻撃キャンペーンとは異なり、脅威ラボ チームはこの取り組みを既知の脅威グループと結び付けることができませんでした。これは、これが新しいグループの仕業か、既知の脅威の完全にアップグレードされたツール セットの代表であることを示している可能性があります。俳優。
Qualys Threat Research Unit のセキュリティ研究マネージャーの Mayuresh Dani 氏は、攻撃者が帰属を払拭するために地理的に異なるソースを使用することで、セキュリティ チームが地理的位置に基づいて対象を絞った保護を提供することも困難になると指摘しています。
「サンプルはウクライナからアップロードされ、第 2 段階はロシアの VPS プロバイダーの下でホストおよび登録され、Cobalt ビーコン [CXNUMX] はポーランドのワルシャワで登録されました」と彼は説明します。
同氏は、一連の攻撃で最も興味深いと感じたのは、最初の侵害が安全な Signal アプリを介して行われたことだと述べています。
「 Signal メッセンジャーは主にセキュリティを重視する担当者によって使用されています またはジャーナリストなど秘密情報の共有に関与している人々です」と彼は指摘する。
セキュリティ意識とパッチ管理によりサイバー アーマーを強化する
ヴァイツマン氏は、ほとんどのサイバー攻撃は電子メールやメッセージを介したフィッシングやリンク誘導から始まるため、こうした攻撃の試みを軽減するには従業員のサイバー意識の向上が重要な役割を果たすと述べている。
また、セキュリティ チームに対しては、「Office に最新バージョンのパッチが適用されていることを確認するだけでなく、ネットワーク内で提供されている IoC をスキャンすることもお勧めします」と Vaitzman 氏は言います。
クリティカル スタート社のサイバー脅威調査シニア マネージャーであるキャリー ギュンサー氏は、防御の観点から見ると、古いエクスプロイトへの依存は堅牢なパッチ管理システムの重要性を強調していると述べています。
「さらに、攻撃の巧妙化により、これまで以上に高度な検出メカニズムの必要性が強調されています。 シグネチャベースのサイバー防御アプローチ」と彼女は言います。「変更された悪意のあるソフトウェアを識別するために、動作と異常検出が組み込まれています。」
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cyberattacks-data-breaches/military-tank-manual-zero-day-ukraine-cyberattack