Zephyrnet-Logo

Generative Datenintelligenz

Cybersicherheit

Military Tank Manual, 2017 Zero-Day Anchor Neuester Cyberangriff in der Ukraine

Neuauflage von Plato
Neuauflage von Plato

Datum:

Views: 82

Ein unbekannter Bedrohungsakteur zielte gegen Ende 2023 auf Regierungsstellen in der Ukraine ab und nutzte dabei einen alten Microsoft Office Remote Code Execution (RCE)-Exploit aus dem Jahr 2017 (CVE-2017-8570) als Ausgangsvektor und Militärfahrzeuge als Köder.

Der Bedrohungsakteur initiierte den Angriff mithilfe einer schädlichen PowerPoint-Datei (.PPSX), die als Anhang über eine Nachricht auf der sicheren Messaging-Plattform Signal gesendet wurde. Diese Datei, die als alte Bedienungsanleitung der US-Armee für Minenräumblätter für Panzer getarnt war, hatte tatsächlich eine entfernte Beziehung zu einem externen Skript, das auf einer durch Cloudflare geschützten russischen Anbieterdomäne eines virtuellen privaten Servers (VPS) gehostet wurde.

Laut a führte das Skript den CVE-2017-8570-Exploit aus, um RCE zu erreichen Deep Instinct-Blogbeitrag auf den Angriff in dieser Woche, um Informationen zu stehlen.

Unter der Haube eines kniffligen Cyberangriffs

Was das technische Detail betrifft, so gab sich das verschleierte Skript als Cisco AnyConnect APN-Konfiguration aus und war für das Festlegen der Persistenz, die Dekodierung und das Speichern der eingebetteten Nutzlast auf der Festplatte verantwortlich, was in mehreren Schritten geschah, um einer Entdeckung zu entgehen.

Die Nutzlast umfasst eine Loader/Packer-DLL (Dynamic Link Library) mit dem Namen „vpn.sessings“, die einen Cobalt Strike Beacon in den Speicher lädt und auf Anweisungen vom Command-and-Control-Server (C2) des Angreifers wartet.

Mark Vaitzman, Teamleiter des Bedrohungslabors bei Deep Instinct, stellt fest, dass das Penetrationstest-Tool Cobalt Strike ist Wird von Bedrohungsakteuren sehr häufig verwendet, aber dieser spezielle Beacon nutzt einen benutzerdefinierten Loader, der auf mehreren Techniken basiert, die die Analyse verlangsamen.

„Es wird kontinuierlich aktualisiert, um Angreifern eine einfache Möglichkeit zu bieten, sich seitlich zu bewegen, sobald der anfängliche Footprint festgelegt ist“, sagt er. „[Und] es wurde in mehreren Anti-Analyse- und einzigartigen Umgehungstechniken implementiert.“

Vaitzman weist darauf hin, dass im Jahr 2022 in Cobalt Strike ein schwerwiegender CVE gefunden wurde, der RCE ermöglichte – und viele Forscher sagten voraus, dass Bedrohungsakteure das Tool ändern würden, um Open-Source-Alternativen zu schaffen.

„In Untergrund-Hacking-Foren sind mehrere gecrackte Versionen zu finden“, sagt er.

Über die optimierte Version von Cobalt Strike hinaus zeichnet sich die Kampagne seiner Meinung nach auch dadurch aus, dass die Bedrohungsakteure ständig versuchen, ihre Dateien und Aktivitäten als legitime, routinemäßige Betriebssystem- und allgemeine Anwendungsvorgänge zu tarnen, um verborgen zu bleiben und die Kontrolle zu behalten von infizierten Maschinen so lange wie möglich. In dieser Kampagne, sagt er, hätten die Angreifer dies mitgenommen „vom Land leben“-Strategie weiter.

„Diese Angriffskampagne zeigt mehrere Maskierungstechniken und eine intelligente Art der Beharrlichkeit, die bisher nicht dokumentiert wurde“, erklärt er, ohne Details preiszugeben.

Marke und Modell der Cyberthreat-Gruppe sind unbekannt

Die Ukraine wurde ins Visier genommen von mehreren Bedrohungsakteuren während seines Krieges mit Russland mehrfach mit dem Sandwurmgruppe als primäre Cyberangriffseinheit des Angreifers fungiert.

Aber anders als bei den meisten Angriffskampagnen während des Krieges konnte das Team des Bedrohungslabors diese Bemühungen keiner bekannten Bedrohungsgruppe zuordnen, was darauf hindeuten könnte, dass es sich hierbei um die Arbeit einer neuen Gruppe oder um einen Vertreter eines vollständig aktualisierten Toolset einer bekannten Bedrohung handelt Schauspieler.

Mayuresh Dani, Manager für Sicherheitsforschung bei der Qualys Threat Research Unit, weist darauf hin, dass die Verwendung geografisch verteilter Quellen, um den Bedrohungsakteuren dabei zu helfen, Zuschreibungen zu entkräften, es Sicherheitsteams auch erschwert, gezielten Schutz basierend auf geografischen Standorten bereitzustellen.

„Die Probe wurde aus der Ukraine hochgeladen, die zweite Stufe wurde bei einem russischen VPS-Anbieter gehostet und registriert und der Cobalt-Beacon [C2] wurde in Warschau, Polen, registriert“, erklärt er.

Am interessantesten an der Angriffskette fand er, dass die anfängliche Kompromittierung über die sichere Signal-App erfolgte.

"The Signal Messenger wird größtenteils von sicherheitsorientiertem Personal verwendet oder diejenigen, die an der Weitergabe geheimer Informationen beteiligt sind, wie etwa Journalisten“, stellt er fest.

Stärken Sie Ihre Cyber-Rüstung mit Sicherheitsbewusstsein und Patch-Management

Da die meisten Cyberangriffe mit Phishing oder Linklocking über E-Mails oder Nachrichten beginnen, sagt Vaitzman, spielt ein breiteres Cyberbewusstsein der Mitarbeiter eine wichtige Rolle bei der Eindämmung solcher Angriffsversuche.

Und für Sicherheitsteams: „Wir empfehlen außerdem, im Netzwerk nach den bereitgestellten IoCs zu suchen und sicherzustellen, dass Office auf die neueste Version gepatcht ist“, sagt Vaitzman.

Callie Guenther, Senior Manager für Cyber-Bedrohungsforschung bei Critical Start, sagt, dass aus Verteidigungssicht die Abhängigkeit von älteren Exploits auch die Bedeutung robuster Patch-Management-Systeme unterstreicht.

„Darüber hinaus unterstreicht die Komplexität des Angriffs die Notwendigkeit fortschrittlicher Erkennungsmechanismen, die darüber hinausgehen signaturbasierte Cyber-Abwehransätze„, sagt sie, „unter Einbeziehung von Verhaltens- und Anomalieerkennung, um modifizierte Schadsoftware zu identifizieren.“

spot_img

Neueste Intelligenz

spot_img

Copyright @ 2024 Plato Technologies Inc.