ผู้คุกคามที่ไม่รู้จักกำหนดเป้าหมายหน่วยงานรัฐบาลในยูเครนในช่วงปลายปี 2023 โดยใช้ช่องโหว่การเรียกใช้โค้ดจากระยะไกล (RCE) ของ Microsoft Office แบบเก่าจากปี 2017 (CVE-2017-8570) เป็นเวกเตอร์เริ่มต้นและมียานพาหนะทางทหารเป็นตัวล่อ
ผู้คุกคามเริ่มต้นการโจมตีโดยใช้ไฟล์ PowerPoint (.PPSX) ที่เป็นอันตรายซึ่งส่งเป็นไฟล์แนบผ่านข้อความบนแพลตฟอร์มการส่งข้อความที่ปลอดภัย Signal ไฟล์นี้ซึ่งปลอมแปลงเป็นคู่มือการใช้งานเก่าโดยกองทัพสหรัฐฯ สำหรับใบมีดเก็บทุ่นระเบิดสำหรับรถถัง จริงๆ แล้วมีความสัมพันธ์ระยะไกลกับสคริปต์ภายนอกที่โฮสต์บนโดเมนผู้ให้บริการเซิร์ฟเวอร์ส่วนตัวเสมือนของรัสเซีย (VPS) ที่ได้รับการปกป้องโดย Cloudflare
สคริปต์ดำเนินการช่องโหว่ CVE-2017-8570 เพื่อให้ได้ RCE ตาม โพสต์ในบล็อกของ Deep Instinct ในการโจมตีในสัปดาห์นี้เพื่อพยายามขโมยข้อมูล
ภายใต้ฝากระโปรงของการโจมตีทางไซเบอร์ที่ยุ่งยาก
ในแง่ของสาระสำคัญทางเทคนิค สคริปต์ที่สร้างความสับสนปลอมตัวเป็นการกำหนดค่า Cisco AnyConnect APN และรับผิดชอบในการตั้งค่าความคงอยู่ การถอดรหัส และการบันทึกเพย์โหลดที่ฝังลงในดิสก์ ซึ่งเกิดขึ้นในหลายขั้นตอนเพื่อหลบเลี่ยงการตรวจจับ
เพย์โหลดประกอบด้วยไลบรารีลิงก์ไดนามิก (DLL) ของตัวโหลด/แพ็กเกอร์ที่ชื่อ “vpn.sessings” ซึ่งจะโหลด Cobalt Strike Beacon ลงในหน่วยความจำและรอคำสั่งจากเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) ของผู้โจมตี
Mark Vaitzman หัวหน้าทีมแล็บภัยคุกคามของ Deep Instinct ตั้งข้อสังเกตว่าเครื่องมือทดสอบการเจาะระบบ Cobalt Strike คือ ใช้กันมากในหมู่ผู้แสดงภัยคุกคามแต่บีคอนเฉพาะนี้ใช้ตัวโหลดแบบกำหนดเองซึ่งอาศัยเทคนิคหลายประการที่ทำให้การวิเคราะห์ช้าลง
“มีการอัปเดตอย่างต่อเนื่องเพื่อให้ผู้โจมตีมีวิธีง่ายๆ ในการเคลื่อนที่ไปทางด้านข้างเมื่อตั้งค่าเริ่มต้นแล้ว” เขากล่าว “[และ] มันถูกนำไปใช้ในเทคนิคการต่อต้านการวิเคราะห์และการหลีกเลี่ยงที่เป็นเอกลักษณ์หลายประการ”
Vaitzman ตั้งข้อสังเกตว่าในปี 2022 CVE ที่รุนแรงที่อนุญาตให้ RCE ถูกพบใน Cobalt Strike และนักวิจัยหลายคนคาดการณ์ว่าผู้แสดงภัยคุกคามจะเปลี่ยนเครื่องมือเพื่อสร้างทางเลือกโอเพ่นซอร์ส
“สามารถพบเวอร์ชันที่ถอดรหัสได้หลายเวอร์ชันในฟอรัมการแฮ็กใต้ดิน” เขากล่าว
นอกเหนือจากเวอร์ชันปรับแต่งของ Cobalt Strike แล้ว เขากล่าว แคมเปญนี้ยังมีความโดดเด่นในด้านความยาวที่ผู้คุกคามพยายามปลอมแปลงไฟล์และกิจกรรมของตนอย่างต่อเนื่องเป็นระบบปฏิบัติการปกติและแอปพลิเคชันทั่วไปที่ถูกกฎหมาย เพื่อให้ยังคงซ่อนเร้นและรักษาการควบคุม ของเครื่องที่ติดไวรัสให้นานที่สุด เขากล่าวว่าในแคมเปญนี้ ผู้โจมตีใช้สิ่งนี้ ยุทธศาสตร์ “อยู่นอกแผ่นดิน” ต่อไป
“การโจมตีครั้งนี้แสดงให้เห็นถึงเทคนิคการปลอมแปลงหลายอย่างและวิธีอันชาญฉลาดในการคงอยู่ซึ่งยังไม่ได้รับการบันทึกไว้” เขาอธิบายโดยไม่เปิดเผยรายละเอียด
Cyberthreat Group ไม่ทราบยี่ห้อและรุ่น
ยูเครนตกเป็นเป้าหมาย โดยผู้แสดงภัยคุกคามหลายรายหลายครั้งระหว่างทำสงครามกับรัสเซียด้วย กลุ่มหนอนทราย ทำหน้าที่เป็นหน่วยโจมตีทางไซเบอร์หลักของผู้รุกราน
แต่แตกต่างจากแคมเปญโจมตีส่วนใหญ่ในช่วงสงคราม ทีมแล็บภัยคุกคามไม่สามารถเชื่อมโยงความพยายามนี้กับกลุ่มภัยคุกคามที่รู้จัก ซึ่งอาจบ่งชี้ว่านี่เป็นผลงานของกลุ่มใหม่หรือตัวแทนของชุดเครื่องมือที่ได้รับการอัพเกรดเต็มรูปแบบของภัยคุกคามที่รู้จัก นักแสดงชาย.
Mayuresh Dani ผู้จัดการฝ่ายวิจัยด้านความปลอดภัยที่ Qualys Threat Research Unit ชี้ว่าการใช้แหล่งข้อมูลที่แตกต่างกันทางภูมิศาสตร์เพื่อช่วยให้ผู้แสดงภัยคุกคามกำจัดการระบุแหล่งที่มา และยังทำให้ทีมรักษาความปลอดภัยมอบการป้องกันแบบกำหนดเป้าหมายตามที่ตั้งทางภูมิศาสตร์ได้ยากอีกด้วย
“ตัวอย่างนี้อัปโหลดจากยูเครน ขั้นตอนที่สองโฮสต์และลงทะเบียนภายใต้ผู้ให้บริการ VPS ของรัสเซีย และสัญญาณโคบอลต์ [C2] ได้รับการจดทะเบียนในกรุงวอร์ซอ ประเทศโปแลนด์” เขาอธิบาย
เขากล่าวว่าสิ่งที่น่าสนใจที่สุดเกี่ยวกับห่วงโซ่การโจมตีคือการประนีประนอมครั้งแรกทำได้สำเร็จผ่านแอป Signal ที่ปลอดภัย
" Signal Messenger ถูกใช้โดยบุคลากรที่เน้นความปลอดภัยเป็นส่วนใหญ่ หรือผู้ที่เกี่ยวข้องกับการแบ่งปันข้อมูลลับ เช่น นักข่าว” เขากล่าว
เพิ่มเกราะไซเบอร์ด้วยการตระหนักรู้ด้านความปลอดภัย การจัดการแพทช์
Vaitzman กล่าวว่าเนื่องจากการโจมตีทางไซเบอร์ส่วนใหญ่เริ่มต้นด้วยฟิชชิ่งหรือการล่อลวงลิงก์ผ่านทางอีเมลหรือข้อความ ความตระหนักรู้ทางไซเบอร์ของพนักงานในวงกว้างจึงมีบทบาทสำคัญในการบรรเทาการโจมตีดังกล่าว
และสำหรับทีมรักษาความปลอดภัย “เรายังแนะนำให้สแกนหา IoC ที่ให้มาในเครือข่าย รวมถึงตรวจสอบให้แน่ใจว่า Office ได้รับการแพตช์เป็นเวอร์ชันล่าสุดแล้ว” Vaitzman กล่าว
Callie Guenther ผู้จัดการอาวุโสฝ่ายวิจัยภัยคุกคามทางไซเบอร์ที่ Critical Start กล่าวว่าจากมุมมองของการป้องกัน การพึ่งพาช่องโหว่แบบเก่ายังเน้นย้ำถึงความสำคัญของระบบการจัดการแพตช์ที่แข็งแกร่ง
“นอกจากนี้ ความซับซ้อนของการโจมตียังตอกย้ำถึงความจำเป็นในการใช้กลไกการตรวจจับขั้นสูงที่นอกเหนือไปจากนั้น แนวทางการป้องกันทางไซเบอร์ตามลายเซ็น” เธอกล่าว “ผสมผสานพฤติกรรมและการตรวจจับความผิดปกติเพื่อระบุซอฟต์แวร์ที่เป็นอันตรายที่ถูกดัดแปลง”
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cyberattacks-data-breaches/military-tank-manual-zero-day-ukraine-cyberattack
