Ένας υπογεγραμμένος Windows driver έχει χρησιμοποιηθεί σε επιθέσεις σε τράπεζες στις γαλλόφωνες χώρες, πιθανότατα από έναν απειλητικό παράγοντα – η ομάδα φέρεται να είναι η Bluebottle – που έκλεψε περισσότερα από 11 εκατομμύρια δολάρια από διάφορες τράπεζες.
Η δραστηριότητα και οι στόχοι της επίθεσης ταιριάζουν απόλυτα με τον τρόπο λειτουργίας της OPERA1ER, η οποία έχει συμμετάσχει σε τουλάχιστον 35 επιτυχημένες επιθέσεις μεταξύ 2018-2020.
Πηγές πληροφοριών υποδεικνύουν ότι μια ομάδα γαλλόφωνων εγκληματιών με έδρα την Αφρική ευθύνεται για το πρόσφατο κύμα επιθέσεων σε επιχειρήσεις σε ολόκληρη την ήπειρο, καθώς και σε εταιρείες στην Αργεντινή, την Παραγουάη και το Μπαγκλαντές.
Δείτε επίσης: Η CircleCI εξέδωσε προειδοποίηση για παραβίαση ασφάλειας
Η Symantec, ένα τμήμα της Broadcom Software, αποκάλυψε πρόσφατα λεπτομέρειες στην έκθεσή της σχετικά με μια ομάδα κυβερνοεγκληματιών που αναφέρεται ως Bluebottle και τις ομοιότητες μεταξύ αυτής και των τακτικών της OPERA1ER. Η έρευνά τους υπογράμμισε ότι πολλές τεχνικές, διαδικασίες και στρατηγικές είναι παρόμοιες και για τις δύο εγκληματικές οντότητες.
Σε μια ολοκληρωμένη έκθεση που κυκλοφόρησε στις αρχές Νοεμβρίου 2022 από την εταιρεία κυβερνοασφάλειας Group-IB, οι εκστρατείες του OPERA1ER παρουσιάστηκαν λεπτομερώς και αποκαλύφθηκε ότι δεν χρησιμοποιήθηκε προσαρμοσμένο κακόβουλο λογισμικό. Αντιθέτως, χρησιμοποιήθηκαν πλαίσια ανοιχτού κώδικα καθώς και έτοιμα προς χρήση εργαλεία.
Η έκθεση της Symantec εμβαθύνει περισσότερο στις τεχνικές πτυχές αυτής της επίθεσης, συμπεριλαμβανομένης της χρήσης του GuLoader για τη φόρτωση κακόβουλου λογισμικού και ενός signed driver (kernel mode) που μπορεί να βοηθήσει τους επιτιθέμενους να τερματίσουν προγράμματα ασφαλείας που εκτελούνται σε στοχευμένα δίκτυα.
Δείτε επίσης: Νέο Linux malware εγκαθιστά cryptominers, DDoS bots
Σύμφωνα με τους ερευνητές, αυτό το κακόβουλο λογισμικό περιείχε δύο διακριτά μέρη: ένα ελεγκτικό DLL που διαβάζει και ερμηνεύει πληροφορίες διεργασιών από ένα εξωτερικό αρχείο, καθώς και έναν ψηφιακά υπογεγραμμένο “βοηθητικό” driver που ελέγχεται από τον πρώτο driver και χρησιμοποιείται για να τερματίσει διεργασίες που βρίσκονται στη λίστα.
Φαίνεται ότι ο υπογεγραμμένος κακόβουλος driver έχει χρησιμοποιηθεί από πολλές ομάδες κυβερνοεγκληματιών για να απενεργοποιηθεί η άμυνα. Η Mandiant και η Sophos το ανέφεραν στα μέσα Δεκεμβρίου σε μια λίστα που περιελάμβανε kernel-mode drivers επαληθευμένους με υπογραφές Authenticode από το Windows Hardware Developer Program της Microsoft.
Η Mandiant παρακολουθεί τον driver ως POORTRY, λέγοντας ότι το πρώτο σημάδι του ήταν τον Ιούνιο του 2022 και ότι χρησιμοποιήθηκε με ένα μείγμα πιστοποιητικών, μερικά από τα οποία ήταν κλεμμένα και δημοφιλή μεταξύ των εγκληματιών του κυβερνοχώρου.
Ενώ ο driver ήταν πανομοιότυπος, οι ερευνητές της Symantec ανακάλυψαν ότι είχε σφραγιστεί με ένα ψηφιακό πιστοποιητικό που ανήκε στην Zhuhai Liancheng Technology Co., Ltd – μια κινεζική εταιρεία.
Αυτό αποτελεί απόδειξη ότι οι εγκληματίες του κυβερνοχώρου έχουν πρόσβαση σε παρόχους που μπορούν να προσφέρουν έγκυρες υπογραφές από αξιόπιστες εταιρείες και ιδρύματα, επιτρέποντας έτσι στα κακόβουλα εργαλεία τους να παρακάμπτουν τα συστήματα ανίχνευσης και να περνούν τις διαδικασίες ελέγχου ταυτότητας.
Οι ερευνητές σημειώνουν ότι ο ίδιος driver χρησιμοποιήθηκε σε δραστηριότητα που υποπτεύεται ότι οδηγεί σε επίθεση ransomware εναντίον μη κερδοσκοπικού φορέα στον Καναδά.
Σύμφωνα με τη Symantec, η δραστηριότητα της Bluebottle εμφανίστηκε μόλις τον Ιούλιο του 2022 και συνεχίστηκε μέχρι τον Σεπτέμβριο. Είναι πιθανό ότι κάποια δραστηριότητα μπορεί να είχε ξεκινήσει ακόμη και νωρίτερα από τον Μάιο.
Δείτε επίσης: Η Zoho προτρέπει τους admins να διορθώσουν άμεσα ένα ManageEngine bug
Πρόσφατες κακόβουλες δραστηριότητες δείχνουν ότι οι επιτιθέμενοι έχουν αρχίσει να χρησιμοποιούν νέες τακτικές, όπως η χρήση του GuLoader στην αρχή των επιθέσεών τους. Επιπλέον, οι ερευνητές παρατήρησαν και ενδείξεις που υποδηλώνουν ότι ένας εγκληματίας του κυβερνοχώρου χρησιμοποίησε ISO disk images για να ξεκινήσει εκστρατείες spear-phishing που σχετίζονται με ευκαιρίες απασχόλησης.
Οι ερευνητές της Symantec ανέλυσαν τις επιθέσεις της Bluebottle σε τρία διαφορετικά χρηματοπιστωτικά ιδρύματα σε αφρικανικά έθνη. Σε μία από αυτές, ο δράστης εκμεταλλεύτηκε διάφορα εργαλεία dual-use και utilities που ήταν ήδη εγκατεστημένα στο σύστημα (Quser, Ping, Ngrok, Xcopy, Netsh).
Παρά την ανακάλυψη ότι η τελευταία δραστηριότητα του δικτύου-θύματος ήταν τον Σεπτέμβριο, οι ερευνητές αποκάλυψαν ότι το εργαλείο Ngrok εξακολουθούσε να υπάρχει μέχρι τον Νοέμβριο. Αυτό υποστηρίζει τη διαπίστωση της Group-IB ότι οι χάκερ OPERA1ER είναι ικανοί να παραμένουν σε μολυσμένα δίκτυα για μεγάλο χρονικό διάστημα (από τρεις έως δώδεκα μήνες).
Η Bluebottle χρησιμοποίησε κακόβουλα προγράμματα όπως το GuLoader, το Mimikatz για την κατάσχεση κωδικών πρόσβασης κατευθείαν από τη μνήμη, το Reveal Keylogger για την καταγραφή keystroke και το remote access trojan Netwire.
Περίπου τρεις εβδομάδες μετά την αρχική εισβολή, ο απειλητικός παράγοντας άρχισε να κινείται χειροκίνητα στο σύστημα χρησιμοποιώντας τις εντολές Command Prompt και PsExec.
Η Symantec δεν μπορεί να εξακριβώσει αν οι OPERA1ER και Bluebottle είναι πράγματι η ίδια ομάδα, παρά τις παρόμοιες μεθόδους επίθεσης που χρησιμοποιούν- ωστόσο, το βέβαιο είναι ότι πρόκειται για μια πολύ πετυχημένη ομάδα.
Πηγή πληροφοριών: bleepingcomputer.com
