Οι ερευνητές έχουν ανακαλύψει μια παγκόσμια καμπάνια που στοχεύει επιχειρήσεις χρησιμοποιώντας την ευπάθεια ZeroLogon που αποκαλύφθηκε πρόσφατα. Η κυβερνοεπίθεση πιστεύεται ότι είναι δουλειά της ομάδας hacking Cicada, που είναι επίσης γνωστή με τα ονόματα APT10, Stone Panda και Cloud Hopper.
Ιστορικά, η ομάδα hacking – που ανακαλύφθηκε για πρώτη φορά το 2009 είναι μια ομάδα που οι ΗΠΑ πιστεύουν ότι χρηματοδοτείται από την κινεζική κυβέρνηση – έχει στοχεύσει οργανισμούς που συνδέονται με την Ιαπωνία και αυτό το τελευταίο κύμα επιθέσεων φαίνεται να μην έχει διαφορές με τα προηγούμενα.
Οι ερευνητές της Symantec έχουν αναφέρει ότι οι πρόσφατοι στόχοι της ομάδας Cicada είναι κάποιες εταιρείες που ασχολούνται με την αυτοκινητοβιομηχανία, τη φαρμακευτική, τη μηχανολογία και τη βιομηχανία διαχειριζόμενων παρόχων υπηρεσιών (MSP).
Σύμφωνα με την εταιρεία, το τελευταίο κύμα επιθέσεων της ομάδας Cicada είναι ενεργό από τα μέσα Οκτωβρίου του 2019 και συνεχίστηκε μέχρι τουλάχιστον τον Οκτώβριο του τρέχοντος έτους.
Η Cicada φαίνεται να διαθέτει πόρους και χρησιμοποιεί μια ποικιλία εργαλείων και τεχνικών. Μερικά από αυτά είναι το DLL side-loading, η αναγνώριση δικτύου, η κλοπή credential, τα βοηθητικά προγράμματα γραμμής εντολών που είναι σε θέση να εγκαταστήσουν πιστοποιητικά browser root και η αποκωδικοποίηση δεδομένων. Φυσικά όλα αυτά έχουν ως στόχο την λήψη και την εξαγωγή των κλεμμένων πληροφοριών.
Επίσης μια πρόσφατη προσθήκη στο κιτ εργαλείων της ομάδας hacking είναι ένα εργαλείο ικανό να εκμεταλλευτεί το ZeroLogon. Το ZeroLogon καταχωρήθηκε ως CVE-2020-1472 με βαθμολογία CVSS 10 και αποκαλύφθηκε και διορθώθηκε από τη Microsoft τον Αύγουστο. Η ευπάθεια μπορεί να χρησιμοποιηθεί για την πλαστογράφηση λογαριασμών domain controller και παραβιάσεων domain, καθώς και για παραβιάσεις υπηρεσιών ταυτότητας Active Directory.
Η Cicada κυκλοφόρησε επίσης το Backdoor.Hartip, μια προσαρμοσμένη μορφή malware που δεν είχαμε ξαναδεί στο παρελθόν να συνδέεται με την APT.
Φαίνεται ότι η ομάδα επικεντρώνεται στην κλοπή πληροφοριών. Τα δεδομένα για τα οποία ενδιαφέρεται είναι εταιρικά αρχεία, έγγραφα HR και πολλά άλλα – τα οποία συχνά “συσκευάζονται” και μεταφέρονται στους servers command-and-control (C2) της Cicada.
“Ο χρόνος που αφιέρωσαν οι επιτιθέμενοι στα δίκτυα των θυμάτων ποικίλλει, με τους επιτιθέμενους να περνούν σημαντικό χρόνο στα δίκτυα ορισμένων θυμάτων, ενώ να μένουν μόνο ημέρες σε άλλα δίκτυα”, λένε οι ερευνητές. “Σε ορισμένες περιπτώσεις, επίσης, οι εισβολείς έμειναν λίγο καιρό σε ένα δίκτυο και μετά σταματήσαν την δραστηριότητα τους την οποία ξεκίνησαν ξανά μετά από μερικούς μήνες.”
Οι ερευνητές αναφέρουν ότι έχουν κάποια στοιχεία που αποδεικνύουν ότι πρόκεται για την ομάδα Cicada. Μερικά από αυτά είναι η χρήση DLL side-loading και ονομάτων DLL, συμπεριλαμβανομένου του “FuckYouAnti”, το οποίο έχει αναφερθεί στο παρελθόν σε μια αναφορά της Cylance λέγοντας ότι χρησιμοποιείται από την Cicada Επιπλέον, το τελικό payload συνδυάζει το QuasarRAT, που χρησιμοποιήθηκε στο παρελθόν από την Cicada, καθώς και το Backdoor.Hartip.
Πηγή: zdnet.com
