Un actor de amenazas desconocido apuntó a entidades gubernamentales en Ucrania a finales de 2023 utilizando un antiguo exploit de ejecución remota de código (RCE) de Microsoft Office de 2017 (CVE-2017-8570) como vector inicial y los vehículos militares como señuelo.
El actor de amenazas inició el ataque utilizando un archivo de PowerPoint malicioso (.PPSX) enviado como archivo adjunto a través de un mensaje en la plataforma de mensajería segura Signal. Este archivo, que se hizo pasar por un antiguo manual de instrucciones del ejército de EE. UU. para hojas de limpieza de minas para tanques, tenía en realidad una relación remota con un script externo alojado en un dominio de proveedor de servidor privado virtual (VPS) ruso protegido por Cloudflare.
El script ejecutó el exploit CVE-2017-8570 para lograr RCE, según un Publicación del blog Instinto profundo en el ataque esta semana, en un esfuerzo por robar información.
Debajo del capó de un ciberataque complicado
En términos del meollo de la cuestión técnica, el script ofuscado se hacía pasar por la configuración de Cisco AnyConnect APN y era responsable de establecer la persistencia, decodificar y guardar la carga útil incorporada en el disco, lo que ocurría en varias etapas para evadir la detección.
La carga útil incluye una biblioteca de enlaces dinámicos (DLL) de cargador/empaquetador llamada “vpn.sessings” que carga un Cobalt Strike Beacon en la memoria y espera instrucciones del servidor de comando y control (C2) del atacante.
Mark Vaitzman, líder del equipo del laboratorio de amenazas en Deep Instinct, señala que la herramienta de prueba de penetración Cobalt Strike es muy comúnmente utilizado entre los actores de amenazas, pero esta baliza en particular utiliza un cargador personalizado que se basa en varias técnicas que ralentizan el análisis.
"Se actualiza continuamente para proporcionar a los atacantes una forma sencilla de moverse lateralmente una vez que se establece la huella inicial", afirma. "[Y] se implementó en varias técnicas de evasión únicas y anti-análisis".
Vaitzman señala que en 2022, se encontró en Cobalt Strike un CVE grave que permitía RCE, y muchos investigadores predijeron que los actores de amenazas alterarían la herramienta para crear alternativas de código abierto.
"Se pueden encontrar varias versiones crackeadas en foros clandestinos de piratería", afirma.
Más allá de la versión modificada de Cobalt Strike, dice, la campaña también se destaca por hasta qué punto los actores de amenazas intentan continuamente enmascarar sus archivos y actividades como un sistema operativo legítimo y rutinario y operaciones de aplicaciones comunes, para permanecer ocultos y mantener el control. de máquinas infectadas el mayor tiempo posible. En esta campaña, dice, los atacantes tomaron esto Estrategia de “vivir de la tierra” aún más.
"Esta campaña de ataque muestra varias técnicas de enmascaramiento y una manera inteligente de perseverancia que aún no ha sido documentada", explica, sin revelar detalles.
El grupo de amenazas cibernéticas tiene marca y modelo desconocidos
Ucrania ha sido el objetivo por múltiples actores de amenazas en múltiples ocasiones durante su guerra con Rusia, con el Grupo de gusanos de arena sirviendo como la principal unidad de ciberataque del agresor.
Pero a diferencia de la mayoría de las campañas de ataque durante la guerra, el equipo del laboratorio de amenazas no pudo vincular este esfuerzo con ningún grupo de amenazas conocido, lo que puede indicar que se trata del trabajo de un nuevo grupo o representante de un conjunto de herramientas completamente actualizado de una amenaza conocida. actor.
Mayuresh Dani, gerente de investigación de seguridad en Qualys Threat Research Unit, señala que el uso de fuentes geográficamente dispares para ayudar a los actores de amenazas a disipar la atribución también dificulta que los equipos de seguridad brinden protección específica basada en ubicaciones geográficas.
"La muestra se cargó desde Ucrania, la segunda etapa se alojó y registró bajo un proveedor de VPS ruso, y la baliza Cobalt [C2] se registró en Varsovia, Polonia", explica.
Dice que lo que encontró más interesante acerca de la cadena de ataque fue que el compromiso inicial se logró a través de la aplicación segura Signal.
"El Signal Messenger ha sido utilizado en gran medida por personal centrado en la seguridad. o aquellos que están involucrados en compartir información clandestina, como los periodistas”, señala.
Refuerce la armadura cibernética con concienciación sobre la seguridad y gestión de parches
Vaitzman dice que debido a que la mayoría de los ataques cibernéticos comienzan con phishing o enlaces mediante correos electrónicos o mensajes, una mayor conciencia cibernética de los empleados juega un papel importante en la mitigación de tales intentos de ataque.
Y para los equipos de seguridad, "también recomendamos buscar los IoC proporcionados en la red, así como asegurarse de que Office esté actualizado a la última versión", dice Vaitzman.
Callie Guenther, gerente senior de investigación de amenazas cibernéticas en Critical Start, dice que desde una perspectiva de defensa, la dependencia de exploits más antiguos también enfatiza la importancia de sistemas sólidos de administración de parches.
“Además, la sofisticación del ataque subraya la necesidad de mecanismos de detección avanzados que vayan más allá Enfoques de ciberdefensa basados en firmas.”, dice, “incorporando detección de comportamientos y anomalías para identificar software malicioso modificado”.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/cyberattacks-data-breaches/military-tank-manual-zero-day-ukraine-cyberattack
