Ερευνητές της Fortinet FortiGuard Labs ανακάλυψαν μια νέα εξελιγμένη κυβερνοεπίθεση που στοχεύει χρήστες στην Ουκρανία, με σκοπό την ανάπτυξη του Cobalt Strike και τον έλεγχο των παραβιασμένων συσκευών.
Η επίθεση περιλαμβάνει ένα αρχείο Microsoft Excel που φέρει μια ενσωματωμένη μακροεντολή VBA για την έναρξη της μόλυνσης. Οι επιτιθέμενοι χρησιμοποιούν μια στρατηγική πολλαπλών σταδίων για να παραδώσουν το ‘Cobalt Strike’ payload και να δημιουργήσουν επικοινωνία με έναν command-and-control (C2) server.
“Αυτή η επίθεση χρησιμοποιεί διάφορες τεχνικές αποφυγής για να διασφαλίσει την επιτυχή παράδοση του payload“, είπε η ερευνήτρια ασφαλείας Cara Lin.
Δείτε επίσης: Η FlyingYeti στοχεύει την Ουκρανία με το malware COOKBOX
Καταιγίδες μεγαλύτερες από τη Γη εντοπίστηκαν στον Δία
Black Basta ransomware: Όλες οι νέες τακτικές
Αποκαλύψεις για τον Μεγαλύτερο Κρατήρα του Φεγγαριού
Το Cobalt Strike είναι ένα νόμιμο adversary simulation toolkit, που χρησιμοποιείται για λειτουργίες red teaming. Ωστόσο, πολλές φορές χρησιμοποιείται και από εγκληματίες του κυβερνοχώρου για κακόβουλες δραστηριότητες.
Όπως προείπαμε, το σημείο εκκίνησης της νέας επίθεσης είναι ένα έγγραφο Excel το οποίο όταν ανοίξει, εμφανίζει περιεχόμενο στα ουκρανικά και προτρέπει το θύμα να “Ενεργοποιήσει το περιεχόμενο” για να ενεργοποιήσει τις μακροεντολές. Αξίζει να σημειωθεί ότι η Microsoft έχει αποκλείσει τις μακροεντολές από προεπιλογή στο Microsoft Office από τον Ιούλιο του 2022.
Μόλις ενεργοποιηθούν οι μακροεντολές, το έγγραφο υποτίθεται ότι εμφανίζει περιεχόμενο που σχετίζεται με το ποσό των κεφαλαίων που διατίθενται σε στρατιωτικές μονάδες. Ωστόσο, στο παρασκήνιο, η μακροεντολή αναπτύσσει ένα DLL-based downloader μέσω του register server (regsvr32) utility.
Το obfuscated downloader παρακολουθεί τις διεργασίες που εκτελούνται, για να εντοπίσει εκείνες που σχετίζονται με το Avast Antivirus και το Process Hacker και αυτό-τερματίζεται εάν εντοπίσει κάποιο από αυτά.
Αν δεν τα εντοπίσει, όμως, επικοινωνεί με έναν απομακρυσμένο διακομιστή για να ανακτήσει το κωδικοποιημένο payload επόμενου σταδίου (με την προϋπόθεση ότι η συσκευή-στόχος βρίσκεται στην Ουκρανία). Το αποκωδικοποιημένο αρχείο είναι ένα DLL που είναι κυρίως υπεύθυνο για την εκκίνηση ενός άλλου αρχείου DLL που ασχολείται με την εξαγωγή και την εκτέλεση του τελικού malware.
Δείτε επίσης: Επιθέσεις κατά της Ουκρανίας μέσω παλιάς ευπάθειας Microsoft Office
Η διαδικασία επίθεσης κορυφώνεται με την ανάπτυξη ενός Cobalt Strike Beacon που δημιουργεί επαφή με έναν διακομιστή C2 (“simonandschuster[.]shop”). Τελικός στόχος των επιτιθέμενων είναι να πάρουν τον έλεγχο της συσκευής.
Πιθανές μέθοδοι προστασίας
Η χρήση ενημερωμένων και ισχυρών λογισμικών ασφαλείας είναι κρίσιμη για την προστασία από επιθέσεις όπως αυτές που χρησιμοποιούν το Cobalt Strike. Τα λογισμικά αυτά πρέπει να περιλαμβάνουν ανίχνευση και απόκριση σε τελικά σημεία (EDR), καθώς και προηγμένα συστήματα προστασίας από κακόβουλο λογισμικό.
Επιπλέον, η τακτική ενημέρωση των λειτουργικών συστημάτων και των εφαρμογών είναι απαραίτητη για να κλείσουν τα κενά ασφαλείας που μπορεί να εκμεταλλευτούν οι επιτιθέμενοι. Οι ενημερώσεις πρέπει να εφαρμόζονται αμέσως μόλις γίνονται διαθέσιμες.
Η εκπαίδευση των χρηστών για την αναγνώριση και αποφυγή κακόβουλων μηνυμάτων ηλεκτρονικού ταχυδρομείου και άλλων μορφών κοινωνικής μηχανικής μπορεί να μειώσει σημαντικά τον κίνδυνο μόλυνσης. Οι χρήστες πρέπει να είναι ενήμεροι για τις τελευταίες τεχνικές που χρησιμοποιούν οι επιτιθέμενοι.
Ακολουθεί η εφαρμογή πολιτικών ισχυρών κωδικών πρόσβασης και η χρήση πολυπαραγοντικής ταυτοποίησης (MFA), οι οποίες μπορούν να αποτρέψουν την ανεξέλεγκτη πρόσβαση σε κρίσιμα συστήματα και δεδομένα.
Δείτε επίσης: Οι hackers Sandworm στόχευσαν 20 εγκαταστάσεις κρίσιμων υποδομών στην Ουκρανία
Η τακτική δημιουργία αντιγράφων ασφαλείας των δεδομένων και η αποθήκευσή τους σε ασφαλείς τοποθεσίες μπορεί, επίσης, να βοηθήσει στην ανάκτηση από επιθέσεις ransomware και άλλες μορφές καταστροφικής δραστηριότητας. Τα αντίγραφα ασφαλείας πρέπει να ελέγχονται τακτικά για την ακεραιότητά τους.
Τέλος, η παρακολούθηση και ανάλυση δικτυακής κίνησης μπορεί να βοηθήσει στην έγκαιρη ανίχνευση ανώμαλων δραστηριοτήτων που μπορεί να υποδηλώνουν μια επίθεση. Η χρήση συστημάτων ανίχνευσης εισβολών (IDS) και συστημάτων πρόληψης εισβολών (IPS) είναι ιδιαίτερα χρήσιμη.
Πηγή: thehackernews.com