Οι ερευνητές εντόπισαν μια νέα εκστρατεία του malware Waterbear στην οποία οι κυβερνητικές υπηρεσίες της Taiwan έχουν στοχοποιηθεί με εξελιγμένες επιθέσεις.
Σύμφωνα με τους ερευνητές της CyCraft, οι επιθέσεις πραγματοποιήθηκαν τον Απρίλιο του 2020, κάνοντας μια ενδιαφέρουσα ανατροπή φαίνεται ότι η ομάδα των επιτιθέμενων χρησιμοποίησε malware που υπάρχει ήδη σε παραβιασμένους servers – λόγω προηγούμενων επιθέσεων – προκειμένου να αναπτύξει την εκστρατεία της.
Η συμμορία πίσω από το malware Waterbear είχε συνδεθεί στο παρελθόν με την BlackTech, μια προηγμένη ομάδα επίθεσης στον κυβερνοχώρο που γενικά επιτίθεται σε εταιρείες τεχνολογίας και κυβερνητικούς φορείς σε όλη την Ταϊβάν, την Ιαπωνία και το Χονγκ Κονγκ.
Οι ερευνητές της Trend Micro λένε ότι το modular malware χρησιμοποιείται κυρίως για πλευρική κίνηση, αποκρυπτογράφηση και ενεργοποίηση payload με το loader component. Πέρυσι, η Waterbear κέρδισε το ενδιαφέρον του κλάδου της ασφάλειας στον κυβερνοχώρο μετά την εφαρμογή της τεχνικής API hooking για να κρύψει τις δραστηριότητές της κάνοντας κατάχρηση στα προϊόντα ασφαλείας.
Στο τελευταίο κύμα, η CyCraft λέει ότι εκμεταλλεύτηκε μια ευπάθεια σε ένα αξιόπιστο εργαλείο πρόληψης απωλειών δεδομένων (DLP) για τη φόρτωση του Waterbear. Η δουλειά έγινε ευκολότερη, καθώς τα κατάλοιπα των malware από προηγούμενες επιθέσεις που είχαν πραγματοποιηθεί στους ίδιους στόχους δεν είχαν εξαλειφθεί πλήρως.
Οι εισβολείς έχουν εντοπιστεί σε προσπάθειες χρησιμοποιήσης κλεμμένων credentials για πρόσβαση σε ένα στοχευμένο δίκτυο. Σε ορισμένα παραδείγματα, τα endpoints ήταν ακόμη σε κίνδυνο από τις προηγούμενες επιθέσεις, και αυτό χρησιμοποιήθηκε για να αποκτήσουν πρόσβαση στο εσωτερικό δίκτυο του θύματος και να δημιουργήσουν μυστικά μια σύνδεση με τον command-and-control (C2) server της ομάδας.
Στη συνέχεια χρησιμοποιήθηκε μια ευπάθεια στο εργαλείο DLP για την εκτέλεση του DLL hijacking. Καθώς το λογισμικό απέτυχε να επαληθεύσει την ακεραιότητα των DLL που φορτώνει, το κακόβουλο αρχείο ξεκίνησε με υψηλό επίπεδο προνομίων.
Στη συνέχεια, αυτό το DLL έκανε shellcode injection σε διάφορες υπηρεσίες συστήματος των Windows, επιτρέποντας στον Waterbear loader να αναπτύξει επιπλέον κακόβουλα packages.
Μια άλλη ενδιαφέρουσα πτυχή του loader είναι η «ανάσταση» μιας παλιάς τεχνικής προστασίας από ιούς, σύμφωνα με τους ερευνητές. Γνωστή ως “Heaven’s Gate”, η τεχνική λανθασμένης κατεύθυνσης χρησιμοποιείται για να εξαπατήσει τα λειτουργικά συστήματα των Microsoft Windows για την εκτέλεση κώδικα 64-bit, ακόμη και όταν δηλώνεται ως διαδικασία 32-bit. Αυτό, με τη σειρά του, μπορεί να χρησιμοποιηθεί για παράκαμψη μηχανισμών ασφαλείας και για το shellcode injection.
Τον Αύγουστο, η ομάδα της CyCraft είπε στους παρευρισκόμενους του Black Hat USA ότι μια κινεζική ομάδα APT έχει “χτυπήσει” τα συστήματα διαφόρων κατασκευαστών τσιπ της Taiwan.
