Ερευνητές ασφάλειας εντόπισαν νέα δραστηριότητα κυβερνοκατασκοπείας που επικεντρώνεται σε κυβερνητικές οντότητες στην Ασία, καθώς και σε κρατικές εταιρείες αεροδιαστημικής και αμυντικής βιομηχανίας, εταιρείες τηλεπικοινωνιών και οργανισμούς πληροφορικής.
Δείτε επίσης: 5 τρόποι για να ασφαλίσετε τις ομάδες Devops
Η απειλητική ομάδα πίσω από αυτή τη δραστηριότητα είναι ένα ξεχωριστό σύμπλεγμα που είχε συσχετιστεί προηγουμένως με το “ShadowPad” RAT (remote access trojan). Σε πρόσφατες εκστρατείες, ο απειλητικός παράγοντας ανέπτυξε ένα πολύ πιο διαφορετικό σύνολο εργαλείων.
Σύμφωνα με μια αναφορά της ομάδας Threat Hunter της Symantec που ερεύνησε αυτή την δραστηριότητα, οι επιθέσεις συλλογής πληροφοριών έχουν ξεκινήσει τουλάχιστον από τις αρχές του 2021 και συνεχίζονται ακόμη και τώρα.
Η τρέχουσα καμπάνια φαίνεται να επικεντρώνεται σχεδόν αποκλειστικά σε κυβερνητικούς ή δημόσιους φορείς στην Ασία, όπως:
- Επικεφαλή της κυβέρνησης/Γραφείο Πρωθυπουργού
- Κυβερνητικά ιδρύματα που συνδέονται με χρτηματοδοτήσεις
- Κυβερνητικές εταιρείες αεροδιαστημικής και αμυντικής βιομηχανίας
- Κρατικές εταιρείες τηλεπικοινωνιών
- Κρατικοί οργανισμοί πληροφορικής
- Κρατικές εταιρείες μέσων ενημέρωσης
2022 αλυσίδα επίθεσης
Η Symantec παρουσιάζει ένα παράδειγμα της επίθεσης που εκτυλίχθηκε τον Απρίλιο του 2022 για να δείξει πώς η ομάδα κατασκοπείας παραβιάζει τους κυβερνητικούς στόχους της.
Η επίθεση ξεκινά με την εμφύτευση ενός κακόβουλου DLL που φορτώνεται πλευρικά εκκινώντας το εκτελέσιμο αρχείο μιας νόμιμης εφαρμογής για τη φόρτωση ενός αρχείου .dat.
Σε αυτήν την περίπτωση, η νόμιμη εφαρμογή που έγινε abuse από τους χάκερ ήταν ένα εκτελέσιμο Bitdefender Crash Handler 11 ετών.
Το αρχικό payload .dat περιέχει κρυπτογραφημένο shellcode που μπορεί να χρησιμοποιηθεί για την εκτέλεση εντολών ή πρόσθετων payloads απευθείας από τη μνήμη.
Δείτε επίσης: Lorenz ransomware: Παραβιάζει εταιρικά δίκτυα μέσω τηλεφωνικών συστημάτων
Μόνο τρεις ημέρες μετά την καθιέρωση της πρόσβασης στο backdoor, οι απειλητικοί παράγοντες εγκατέστησαν το ProcDump για να “αρπάξουν” τα user credentials από το Local Security Authority Server Service (LSASS).
Την ίδια μέρα, το penetration testing framework LadonGo φορτώθηκε ξανά μέσω DLL hijacking και χρησιμοποιήθηκε για αναγνώριση δικτύου.
Δύο εβδομάδες μετά την αρχική εισβολή, οι επιτιθέμενοι επέστρεψαν στο παραβιασμένο μηχάνημα για να εγκαταστήσουν το Mimikatz, ένα ευρέως χρησιμοποιούμενο εργαλείο κλοπής credential.
Επιπλέον, οι χάκερ επιχείρησαν να εκμεταλλευτούν το CVE-2020-1472 (Netlogon) έναντι δύο υπολογιστών στο ίδιο δίκτυο για να αυξήσουν τα προνόμιά τους.
Οι εισβολείς χρησιμοποίησαν το PsExec για να εκτελέσουν το Crash Handler και να εκτελέσουν το τέχνασμα DLL order hijacking για να φορτώσουν payloads σε επιπλέον υπολογιστές στο δίκτυο.
Ένα μήνα μετά την εισβολή, οι απειλητικοί φορείς απέκτησαν δικαιώματα για τη δημιουργία νέων λογαριασμών χρηστών και προσάρτησαν ένα snapshot του active directory server για πρόσβαση στα user credentials και στα log files.
Τέλος, η Symantec παρατήρησε το deployment του Fscan για να γίνει μια προσπάθεια exploitation του CVE-2021-26855 (Proxylogon) έναντι Exchange Servers στο παραβιασμένο δίκτυο.
Νέο custom info-stealer
Ένα από τα εργαλεία που χρησιμοποιήθηκαν από τις επιθέσεις σε πρόσφατες καμπάνιες είναι ένας malware infostealer που δεν γνωρίζαμε (Infostealer.Logdatter), ο οποίος ουσιαστικά αντικατέστησε το ShadowPad.
Οι δυνατότητες αυτού του νέου εργαλείου περιλαμβάνουν:
- Keylogging
- Λήψη screenshot
- Σύνδεση σε βάσεις δεδομένων SQL και υποβολή ερωτημάτων
- Εισαγωγή κώδικα: Ανάγνωση ενός αρχείου και εισαγωγή του κώδικα που περιέχεται σε ένα process
- Λήψη αρχείων
- Κλοπή δεδομένων του προχείρου
Απόδοση
Η ομάδα Threat Hunter της Symantec συνέδεσε αυτήν την καμπάνια κυβερνοκατασκοπείας με τις απειλητικές ομάδες APT41 και Mustang Panda που χρηματοδοτούνται από την Κίνα, βασισμένη σε κακόβουλα εργαλεία που προηγουμένως συνδέονταν με αυτές τις κατασκοπευτικές ομάδες.
«Υπάρχουν περιορισμένα στοιχεία που υποδηλώνουν συνδέσμους με προηγούμενες επιθέσεις που εμπλέκουν το malware Korplug/PlugX και με επιθέσεις από μια σειρά γνωστών ομάδων, συμπεριλαμβανομένων των Blackfly/Grayfly (APT41) και Mustang Panda», δήλωσαν οι ερευνητές.
Δείτε επίσης: Hackers κλέβουν Steam credentials μέσω Browser-in-the-Browser phishing επιθέσεων
Ως εκ τούτου, είναι πιθανό πίσω από αυτές τις εκστρατείες κυβερνοκατασκοπείας να βρίσκονται Κινέζοι χάκερ, αλλά τα στοιχεία δεν είναι αρκετά πειστικά για μια σίγουρη απόδοση.
Για να προστατεύσετε τα συστήματά σας από εξελιγμένες απειλές, διατηρήστε ενημερωμένο όλο το λογισμικό για να αποτρέψετε την εκμετάλλευση γνωστών τρωτών σημείων και ελέγξτε εξονυχιστικά τις διεργασίες που εκτελούνται σε όλους τους υπολογιστές για να εντοπίσετε software implants.
Πηγή πληροφοριών: bleepingcomputer.com
