Một tác nhân đe dọa không xác định đã nhắm mục tiêu vào các thực thể chính phủ ở Ukraina vào cuối năm 2023 bằng cách sử dụng khai thác thực thi mã từ xa (RCE) cũ của Microsoft Office từ năm 2017 (CVE-2017-8570) làm vectơ ban đầu và xe quân sự làm mồi nhử.
Tác nhân đe dọa đã bắt đầu cuộc tấn công bằng cách sử dụng tệp PowerPoint độc hại (.PPSX) được gửi dưới dạng tệp đính kèm thông qua tin nhắn trên nền tảng nhắn tin an toàn Signal. Tệp này, được ngụy trang dưới dạng sách hướng dẫn cũ của Quân đội Hoa Kỳ dành cho lưỡi rà phá mìn cho xe tăng, trên thực tế có mối quan hệ từ xa với một tập lệnh bên ngoài được lưu trữ trên miền của nhà cung cấp máy chủ riêng ảo (VPS) của Nga được Cloudflare bảo vệ.
Tập lệnh đã thực thi khai thác CVE-2017-8570 để đạt được RCE, theo một báo cáo. Bài đăng trên blog Bản năng sâu sắc về cuộc tấn công tuần này, nhằm đánh cắp thông tin.
Bên dưới vỏ bọc của một cuộc tấn công mạng phức tạp
Xét về mặt chi tiết kỹ thuật, tập lệnh bị xáo trộn giả mạo cấu hình Cisco AnyConnect APN và chịu trách nhiệm thiết lập tính ổn định, giải mã và lưu tải trọng nhúng vào đĩa, điều này xảy ra trong một số giai đoạn để tránh bị phát hiện.
Tải trọng bao gồm thư viện liên kết động (DLL) của trình tải/đóng gói có tên “vpn.sessings” tải Cobalt Strike Beacon vào bộ nhớ và chờ hướng dẫn từ máy chủ ra lệnh và kiểm soát (C2) của kẻ tấn công.
Mark Vaitzman, trưởng nhóm phòng thí nghiệm mối đe dọa tại Deep Instinct, lưu ý rằng công cụ kiểm tra thâm nhập Cobalt Strike là được sử dụng rất phổ biến trong số các tác nhân đe dọa, nhưng đèn hiệu cụ thể này sử dụng trình tải tùy chỉnh dựa trên một số kỹ thuật làm chậm quá trình phân tích.
Ông nói: “Nó được cập nhật liên tục để cung cấp cho những kẻ tấn công một cách đơn giản để di chuyển theo chiều ngang sau khi dấu vết ban đầu được thiết lập”. “[Và] nó đã được triển khai bằng một số kỹ thuật chống phân tích và trốn tránh độc đáo.”
Vaitzman lưu ý rằng vào năm 2022, một CVE nghiêm trọng cho phép RCE đã được tìm thấy trong Cobalt Strike — và nhiều nhà nghiên cứu dự đoán rằng các tác nhân đe dọa sẽ thay đổi công cụ này để tạo ra các lựa chọn thay thế nguồn mở.
Ông nói: “Một số phiên bản bẻ khóa có thể được tìm thấy trên các diễn đàn hack ngầm.
Ngoài phiên bản tinh chỉnh của Cobalt Strike, ông nói, chiến dịch này còn đáng chú ý vì độ dài mà các tác nhân đe dọa liên tục cố gắng giả mạo các tệp và hoạt động của chúng như một hệ điều hành hợp pháp, thông thường và các hoạt động ứng dụng phổ biến, để ẩn giấu và duy trì quyền kiểm soát. của các máy bị nhiễm càng lâu càng tốt. Ông nói, trong chiến dịch này, những kẻ tấn công đã lấy được Chiến lược “sống nhờ đất” hơn nữa.
Ông giải thích: “Chiến dịch tấn công này cho thấy một số kỹ thuật giả mạo và một cách kiên trì thông minh vẫn chưa được ghi nhận”.
Nhóm đe dọa mạng có kiểu dáng và mẫu mã không xác định
Ukraine trở thành mục tiêu bởi nhiều kẻ đe dọa nhiều lần trong cuộc chiến với Nga, với Nhóm giun cát đóng vai trò là đơn vị tấn công mạng chính của kẻ xâm lược.
Nhưng không giống như hầu hết các chiến dịch tấn công trong thời chiến, nhóm phòng thí nghiệm về mối đe dọa không thể liên kết nỗ lực này với bất kỳ nhóm mối đe dọa nào đã biết, điều này có thể cho thấy rằng đây là công việc của một nhóm mới hoặc đại diện của một bộ công cụ được nâng cấp đầy đủ của một mối đe dọa đã biết. diễn viên.
Mayuresh Dani, giám đốc nghiên cứu bảo mật tại Đơn vị nghiên cứu mối đe dọa Qualys, chỉ ra rằng việc sử dụng các nguồn khác nhau về mặt địa lý để giúp các tác nhân đe dọa loại bỏ sự phân bổ cũng gây khó khăn cho các nhóm bảo mật trong việc cung cấp khả năng bảo vệ có mục tiêu dựa trên vị trí địa lý.
Ông giải thích: “Mẫu được tải lên từ Ukraine, giai đoạn thứ hai được lưu trữ và đăng ký bởi một nhà cung cấp VPS của Nga và đèn hiệu Cobalt [C2] đã được đăng ký tại Warsaw, Ba Lan”.
Anh ấy nói rằng điều anh ấy thấy thú vị nhất về chuỗi tấn công là sự xâm phạm ban đầu được thực hiện thông qua ứng dụng Signal an toàn.
"Các Trình nhắn tin tín hiệu phần lớn được sử dụng bởi các nhân viên tập trung vào an ninh hoặc những người có liên quan đến việc chia sẻ thông tin bí mật, chẳng hạn như các nhà báo,” ông lưu ý.
Tăng cường áo giáp mạng với nhận thức về bảo mật, quản lý bản vá
Vaitzman nói rằng vì hầu hết các cuộc tấn công mạng đều bắt đầu bằng lừa đảo hoặc lôi kéo liên kết qua email hoặc tin nhắn nên nhận thức rộng hơn về mạng của nhân viên đóng vai trò quan trọng trong việc giảm thiểu các nỗ lực tấn công như vậy.
Và đối với các nhóm bảo mật, “Chúng tôi cũng khuyên bạn nên quét các IoC được cung cấp trong mạng cũng như đảm bảo rằng Office được vá lên phiên bản mới nhất,” Vaitzman nói.
Callie Guenther, quản lý cấp cao về nghiên cứu mối đe dọa mạng tại Critical Start, nói rằng từ góc độ phòng thủ, việc phụ thuộc vào các cách khai thác cũ hơn cũng nhấn mạnh tầm quan trọng của hệ thống quản lý bản vá mạnh mẽ.
“Ngoài ra, sự tinh vi của cuộc tấn công nhấn mạnh sự cần thiết của các cơ chế phát hiện tiên tiến vượt xa phương pháp phòng thủ mạng dựa trên chữ ký,” cô nói, “kết hợp hành vi và phát hiện bất thường để xác định phần mềm độc hại đã được sửa đổi.”
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/cyberattacks-data-breaches/military-tank-manual-zero-day-ukraine-cyberattack
