Bilinmeyen bir tehdit aktörü, 2017’den kalma eski bir Microsoft Office uzaktan kod yürütme (RCE) istismarını kullanarak 2023’ün sonlarına doğru Ukrayna’daki devlet kuruluşlarını hedef aldı (CVE-2017-8570) başlangıç vektörü ve askeri araçlar da yem olarak.
Tehdit aktörü, saldırıyı güvenli mesajlaşma platformu Signal üzerindeki bir mesaj aracılığıyla ek olarak gönderilen kötü amaçlı bir PowerPoint dosyasını (.PPSX) kullanarak başlattı. ABD Ordusu’nun tanklar için mayın temizleme bıçaklarına yönelik eski bir kullanım kılavuzu gibi görünen bu dosyanın aslında Cloudflare tarafından korunan bir Rus sanal özel sunucu (VPS) sağlayıcı alanında barındırılan harici bir komut dosyasıyla uzak bir ilişkisi vardı.
Komut dosyası, RCE’ye ulaşmak için CVE-2017-8570 istismarını çalıştırdı. Derin İçgüdü blog yazısı Bu haftaki saldırıda bilgi çalmak amacıyla.
Zor Bir Siber Saldırının Altında
Teknik ayrıntılar açısından, karmaşık komut dosyası, Cisco AnyConnect APN yapılandırması kılığına girdi ve tespitten kaçınmak için birkaç aşamada gerçekleşen kalıcılığın ayarlanması, kod çözülmesi ve yerleşik yükün diske kaydedilmesinden sorumluydu.
Yük, belleğe bir Cobalt Strike Beacon yükleyen ve saldırganın komuta ve kontrol (C2) sunucusundan talimatlar bekleyen “vpn.sessings” adlı bir yükleyici/paketleyici dinamik bağlantı kitaplığı (DLL) içerir.
Deep Instinct’teki tehdit laboratuvarı ekip lideri Mark Vaitzman, penetrasyon testi aracı Cobalt Strike’ın Tehdit aktörleri arasında çok yaygın olarak kullanılıyorancak bu özel işaret, analizi yavaşlatan çeşitli tekniklere dayanan özel bir yükleyiciden yararlanır.
“İlk ayak izi belirlendikten sonra saldırganlara yatay olarak hareket etmenin basit bir yolunu sağlamak için sürekli olarak güncellenmektedir” diyor. “[And] çeşitli anti-analiz ve benzersiz kaçınma teknikleriyle uygulandı.”
Vaitzman, 2022’de Cobalt Strike’ta RCE’ye izin veren ciddi bir CVE’nin bulunduğunu ve birçok araştırmacının tehdit aktörlerinin açık kaynak alternatifleri oluşturmak için aracı değiştireceğini öngördüğünü belirtiyor.
“Yeraltı hackleme forumlarında çeşitli kırık versiyonlar bulunabilir” diyor.
Kendisi, Cobalt Strike’ın değiştirilmiş versiyonunun ötesinde, tehdit aktörlerinin gizli kalmak ve kontrolü sürdürmek için sürekli olarak dosyalarını ve etkinliklerini meşru, rutin bir işletim sistemi ve ortak uygulama işlemleri olarak maskelemeye çalıştıkları uzunluk açısından da kampanyanın dikkate değer olduğunu söylüyor. virüs bulaşmış makinelerin mümkün olduğu kadar uzun süre korunmasını sağlar. Bu kampanyada saldırganların bunu aldığını söylüyor “topraktan geçinme” stratejisi daha öte.
Ayrıntıları açıklamadan, “Bu saldırı kampanyası çeşitli maskeleme tekniklerini ve henüz belgelenmemiş akıllı bir ısrar yöntemini gösteriyor” diye açıklıyor.
Siber Tehdit Grubunun Bilinmeyen Markası ve Modeli Var
Ukrayna hedef alındı Rusya ile savaşı sırasında birçok kez birden fazla tehdit aktörü tarafından Kum Solucanı Grubu saldırganın birincil siber saldırı birimi olarak hizmet vermektedir.
Ancak savaş sırasındaki çoğu saldırı kampanyasının aksine, tehdit laboratuvarı ekibi bu çabayı bilinen herhangi bir tehdit grubuyla ilişkilendiremedi; bu da bunun yeni bir grubun işi olduğunu veya bilinen bir tehdidin tamamen yükseltilmiş bir araç setinin temsilcisi olduğunu gösterebilir. aktör.
Qualys Tehdit Araştırma Birimi güvenlik araştırması yöneticisi Mayuresh Dani, tehdit aktörlerinin atıfları ortadan kaldırmasına yardımcı olmak için coğrafi olarak farklı kaynakların kullanılmasının aynı zamanda güvenlik ekiplerinin coğrafi konumlara dayalı hedefli koruma sağlamasını da zorlaştırdığına dikkat çekiyor.
“Örnek Ukrayna’dan yüklendi, ikinci aşama bir Rus VPS sağlayıcısı ve Cobalt işaretçisi altında barındırıldı ve kaydedildi [C2] Polonya’nın Varşova kentinde kayıtlıydı” diye açıklıyor.
Saldırı zinciriyle ilgili en ilginç bulduğu şeyin, ilk uzlaşmanın güvenli Signal uygulaması aracılığıyla gerçekleştirilmesi olduğunu söylüyor.
” Signal messenger büyük ölçüde güvenlik odaklı personel tarafından kullanılıyor veya gazeteciler gibi gizli bilgilerin paylaşılmasında rol oynayanlar” diye belirtiyor.
Güvenlik Farkındalığı ve Yama Yönetimi ile Siber Zırhı Güçlendirin
Vaitzman, siber saldırıların çoğu kimlik avı veya e-posta veya mesaj yoluyla bağlantı kurmayla başladığından, çalışanların daha geniş siber farkındalığının bu tür saldırı girişimlerini azaltmada önemli bir rol oynadığını söylüyor.
Vaitzman, güvenlik ekipleri için “Ayrıca ağda sağlanan IoC’leri taramanızı ve Office’in en son sürüme yamalandığından emin olmanızı da öneririz” diyor.
Critical Start’ta siber tehdit araştırmasının kıdemli yöneticisi Callie Guenther, savunma açısından bakıldığında, eski istismarlara güvenmenin aynı zamanda sağlam yama yönetim sistemlerinin önemini de vurguladığını söylüyor.
“Ayrıca, saldırının karmaşıklığı, bunun ötesine geçen gelişmiş tespit mekanizmalarına olan ihtiyacın altını çiziyor İmza tabanlı siber savunma yaklaşımları“değiştirilmiş kötü amaçlı yazılımları tanımlamak için davranış ve anormallik tespitini birleştiriyor” diyor.
