Σύμφωνα με μία προειδοποίηση της κυβέρνησης των ΗΠΑ, κρατικοί hacker που χρησιμοποιούν ένα προσαρμοσμένο κακόβουλο λογισμικό CovalentStealer και το πλαίσιο Impacket, έκλεψαν ευαίσθητα δεδομένα από έναν αμερικανικό οργανισμό στον τομέα της αμυντικής βιομηχανικής βάσης (DIB).
Δείτε επίσης: Sophos Firewall: Κρίσιμη ευπάθεια χρησιμοποιείται από hackers
Η παραβίαση είχε διάρκεια περίπου δέκα μηνών, ενώ είναι πιθανό ότι πολλές ακόμα ομάδες προηγμένων hacker πιθανότατα παραβίασαν τον οργανισμό, μερικές από τις οποίες απέκτησαν αρχική πρόσβαση μέσω του Microsoft Exchange Server του θύματος, τον Ιανουάριο του περασμένου έτους.
Οι οντότητες στον τομέα της αμυντικής βιομηχανικής βάσης παρέχουν προϊόντα και υπηρεσίες που επιτρέπουν την υποστήριξη και την ανάπτυξη στρατιωτικών επιχειρήσεων.
Ασχολούνται με έρευνα, ανάπτυξη, σχεδιασμό, παραγωγή, παράδοση και συντήρηση στρατιωτικών οπλικών συστημάτων, συμπεριλαμβανομένων όλων των απαραίτητων εξαρτημάτων και ανταλλακτικών.
Μια κοινή έκθεση της Υπηρεσίας Κυβερνοασφάλειας και Υποδομής (CISA), του Ομοσπονδιακού Γραφείου Ερευνών (FBI) και της Υπηρεσίας Εθνικής Ασφάλειας (NSA) παρέχει τεχνικές λεπτομέρειες που συλλέχθηκαν κατά τη δραστηριότητα αντιμετώπισης περιστατικών που διήρκεσε μεταξύ Νοεμβρίου 2021 και Ιανουαρίου 2022.
Οι hacker συνδύασαν προσαρμοσμένο κακόβουλο λογισμικό που ονομάζεται CovalentStealer, τη συλλογή ανοιχτού κώδικα Impacket κλάσεων Python, το trojan απομακρυσμένης πρόσβασης HyperBro (RAT) και πάνω από δώδεκα δείγματα ιστού ChinaChopper.
Δείτε ακόμα: Hackers χρησιμοποιούν Trojanized έκδοση του PuTTY SSH
Επίσης, εκμεταλλεύτηκαν τις ευπάθειες ProxyLogon για τον Exchange Server τη στιγμή που η Microsoft κυκλοφόρησε μια επείγουσα ενημέρωση ασφαλείας για να τις διορθώσει.
Εκείνη την εποχή, η Microsoft είχε εντοπίσει την αλυσίδα εκμετάλλευσης ProxyLogon όταν τα τρωτά σημεία ήταν ακόμα άγνωστα στον προμηθευτή, σε επιθέσεις που αποδίδονταν σε μια ομάδα hacking που χρηματοδοτείται από την Κίνα, γνωστή ως Hafnium.
Το CVE-2021-26855 είναι μια ευπάθεια πλαστογράφησης αιτημάτων από την πλευρά του διακομιστή (SSRF) στο Exchange που επιτρέπει την αποστολή αυθαίρετων αιτημάτων HTTP και τον έλεγχο ταυτότητας ως διακομιστή Exchange.
Το CVE-2021-26857 είναι ένα σφάλμα αποσειριοποίησης στην υπηρεσία Unified Messaging. Η Hafnium το χρησιμοποίησε για να εκτελέσει κώδικα ως SYSTEM στον διακομιστή Exchange.
Το CVE-2021-26858 είναι μια ευπάθεια εγγραφής αυθαίρετου αρχείου μετά τον έλεγχο ταυτότητας στο Exchange. Θα μπορούσε να γίνει εκμετάλλευση μετά την παραβίαση των νόμιμων διαπιστευτηρίων ενός διαχειριστή.
Το CVE-2021-27065 είναι μια ευπάθεια εγγραφής αυθαίρετου αρχείου μετά τον έλεγχο ταυτότητας στο Exchange.
Δείτε επίσης: Hackers εκμεταλλεύονται το θάνατο της Βασίλισσας Ελισάβετ
Η κοινή έκθεση της CISA, του FBI και της NSA μοιράζεται ένα σύνολο κανόνων YARA που δημιουργήθηκαν για την ανίχνευση δραστηριότητας από αυτόν τον συγκεκριμένο παράγοντα απειλής και δείκτες παραβίασης για τα εργαλεία που χρησιμοποιούνται στην επίθεση: CovalentStealer, HyperBro και China Chopper.
