Różności i nowinki technologia

Microsoft twierdzi, że hakerzy SolarWinds zaatakowali amerykańskie agencje w nowej kampanii

Microsoft twierdzi, że hakerzy SolarWinds zaatakowali amerykańskie agencje w nowej kampanii

Wspierani przez Kreml hakerzy, którzy zaatakowali klientów SolarWinds w ramach ataku na łańcuch dostaw, zostali przyłapani na prowadzeniu złośliwej kampanii e-mailowej, która dostarczała linki ze złośliwym oprogramowaniem do 150 agencji rządowych, instytucji badawczych i innych organizacji w Stanach Zjednoczonych i 23 innych krajach.

Hakerom należącym do rosyjskiej Służby Wywiadu Zagranicznego udało się najpierw włamać na konto należące do USAID, agencji rządowej USA, która zarządza cywilną pomocą zagraniczną i pomocą rozwojową. Kontrolując konto agencji dla firmy Constant Contact zajmującej się marketingiem online, hakerzy mieli możliwość wysyłania e-maili, które wyglądały, jakby korzystały z adresów, o których wiadomo, że należą do agencji amerykańskiej.

Nobelium staje się rodzimym

„Stamtąd aktor był w stanie rozpowszechniać e-maile phishingowe, które wyglądały autentycznie, ale zawierały odsyłacz, który po kliknięciu wstawiał złośliwy plik używany do dystrybucji backdoora, który nazywamy NativeZone” – napisał wiceprezes Microsoft ds. Bezpieczeństwa i zaufania klienta Tom Burt post opublikowany w czwartek wieczorem. „Ten backdoor może umożliwić szeroki zakres działań, od kradzieży danych po infekowanie innych komputerów w sieci”.

Kampania została przeprowadzona przez grupę, którą Microsoft nazywa Nobelium i jest również znana jako APT29, Cozy Bear i Dukes. Firma zajmująca się bezpieczeństwem Kaspersky poinformowała, że ​​szkodliwe oprogramowanie należące do tej grupy pochodzi z 2008 roku, podczas gdy firma Symantec twierdzi, że hakerzy atakują rządy i organizacje dyplomatyczne od co najmniej 2010 roku.

W grudniu zeszłego roku rozgłos Nobelium osiągnął nowy poziom dzięki odkryciu, że grupa stała za niszczycielskim naruszeniem bezpieczeństwa SolarWinds, producenta narzędzi do zarządzania siecią z Austin w Teksasie. Po całkowitym skompromitowaniu systemu tworzenia i dystrybucji oprogramowania SolarWinds hakerzy rozprowadzili złośliwe aktualizacje do około 18 000 klientów, którzy korzystali z narzędzia o nazwie Orion. Następnie hakerzy wykorzystali aktualizacje, aby zagrozić dziewięciu agencjom federalnym i około 100 firmom z sektora prywatnego, powiedzieli urzędnicy Białego Domu.

Powiew przeszłości

We wtorek Nobelium wysadziło 3000 różnych adresów e-mailami, które rzekomo miały dostarczyć specjalny alert z USAID dotyczący nowych dokumentów, które były prezydent Trump opublikował na temat oszustw wyborczych. Jeden z e-maili wyglądał tak:

Microsoft

Microsoft powiedział, że ludzie, którzy kliknęli odsyłacz, zostali najpierw dostarczeni do legalnej usługi Constant Contact, ale wkrótce potem zostali przekierowani do pliku hostowanego na serwerach należących do Nobelium. Po przekierowaniu celów JavaScript powodował, że urządzenia odwiedzających automatycznie pobierały plik archiwum znany jako obraz ISO.

Jak pokazano na poniższym obrazku, obraz zawierał plik PDF, plik LNK o nazwie Reports oraz plik DLL o nazwie Documents, który domyślnie był ukryty.

Microsoft

Microsoft

Gdy cel kliknął plik Reports, otwierał plik PDF jako przynętę iw tle wykonywał plik DLL. Biblioteka DLL z kolei zainstalowała backdoor NativeZone, o którym w osobnym poście opublikowanym przez Microsoft Threat Intelligence Center (MSTIC) wynika, że ​​umożliwił Nobelium uzyskanie trwałego dostępu do zainfekowanych maszyn, tak aby grupa mogła „prowadzić działania w celach, takich jak ruch boczny, eksfiltracja danych i dostarczanie dodatkowego złośliwego oprogramowania. ” . .

Wtorkowy atak był tylko ostatnią falą tego, co według MSTIC było szeroko rozpowszechnioną kampanią szkodliwego spamu, która rozpoczęła się pod koniec stycznia. Od tego czasu kampania ewoluowała w serii iteracji, które wykazały „znaczące eksperymenty”.

Kiedy Microsoft po raz pierwszy zobaczył kampanię, hostował ISO w Firebase, należącej do Google platformie chmurowej dla aplikacji mobilnych i internetowych. Microsoft powiedział, że podczas tej wczesnej iteracji obraz ISO nie zawierał szkodliwego ładunku, co doprowadziło badaczy firmy do wniosku, że celem było „zapisanie atrybutów osób, które uzyskały dostęp do adresu URL”. W późniejszej fazie kampania wysłała e-maile zawierające plik HTML. Po otwarciu JavaScript zapisał obraz ISO na dysk i zachęcił cel do jego otwarcia.

Przepływ tej ostatniej fazy ataku wyglądał następująco:

Microsoft

iOS zeroday

Nobelium nadal eksperymentował z wieloma odmianami. W jednej fali w ogóle nie dostarczono ładunku ISO. Zamiast tego serwer sieciowy kontrolowany przez Nobelium profilował urządzenie docelowe. W przypadku, gdy zaatakowanym urządzeniem był iPhone lub iPad, serwer dostarczył lukę w zabezpieczeniach CVE-2021-1879, która była wówczas luką w zabezpieczeniach CVE-2021-1879, która umożliwiła hakerom przeprowadzenie uniwersalnego ataku cross-site scripting. Apple łatało dzień zerowy pod koniec marca.

Kontynuacja czwartkowego wieczoru MSTIC:

Eksperymenty trwały przez większą część kampanii, ale zaczęły nasilać się w kwietniu 2021 r. Podczas kwietniowych fal aktor zrezygnował z korzystania z Firebase i nie śledził już użytkowników za pomocą dedykowanego adresu URL. Ich techniki przesunęły się na kodowanie ISO w dokumencie HTML i odpowiedzialne za przechowywanie szczegółów hosta docelowego na zdalnym serwerze za pomocą usługi api.ipify.org. Aktor czasami stosował kontrole dla określonych wewnętrznych domen Active Directory, które przerywałyby wykonywanie złośliwego procesu, jeśli zidentyfikuje niezamierzone środowisko.

W maju 2021 roku aktor ponownie zmienił techniki, utrzymując kombinację HTML i ISO, ale porzucił niestandardowy implant pierwszego etapu .NET, wykrywany jako TrojanDownloader: MSIL / BoomBox, który zgłaszał dane z rozpoznania opartego na hoście i pobierał dodatkowe ładunki. z platformy przechowywania danych w chmurze Dropbox.

25 maja kampania NOBELIUM uległa znacznej eskalacji. Korzystając z legalnej usługi masowej wysyłki Constant Contact, NOBELIUM próbował dotrzeć do około 3000 indywidualnych kont w ponad 150 organizacjach. Ze względu na dużą liczbę kampanii zautomatyzowane systemy blokowały większość wiadomości e-mail i oznaczały je jako spam. Jednak zautomatyzowane systemy mogły z powodzeniem dostarczyć niektóre z wcześniejszych wiadomości e-mail do odbiorców.

Firma ochroniarska Volexity, w międzyczasie opublikowała w czwartek swój własny post, który zawiera jeszcze więcej szczegółów. Wśród nich: plik Documents.DLL zawierał sprawdzone maszyny docelowe pod kątem obecności bezpiecznych piaskownic i maszyn wirtualnych, jak pokazano tutaj:

Volexity

Zarówno MSTC, jak i Volexity dostarczyły wielu wskaźników kompromisu, które organizacje mogą wykorzystać do określenia, czy były one celem kampanii. MSTC ostrzegło, że eskalacja w tym tygodniu nie jest prawdopodobnie ostatnią, jaką zobaczymy w związku z Nobelium lub jego trwającą kampanią e-mailową.

„Badacze bezpieczeństwa firmy Microsoft oceniają, że operacje phishingu spear phishingu Nobelium powracają, a ich częstotliwość i zakres wzrosły” – podsumowano w artykule MSTC. „Przewiduje się, że grupa może prowadzić dodatkowe działania, stosując ewoluujący zestaw taktyk”.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook