Merlin: Οι χάκερ χρησιμοποιούν την εργαλειοθήκη σε επιθέσεις

Η Ουκρανία προειδοποιεί για ένα κύμα επιθέσεων που στοχεύουν κρατικούς οργανισμούς, χρησιμοποιώντας το “Merlin“, ένα πλαίσιο ανοιχτού κώδικα για εκμετάλλευση και διαχείριση.

Δείτε επίσης: Φινλανδία: Αντιμετωπίζει τετραπλάσιες επιθέσεις ransomware από τότε που εντάχθηκε στο NATO

Το Merlin είναι μια εργαλειοθήκη για πολλαπλές πλατφόρμες που βασίζεται στη γλώσσα προγραμματισμού Go και είναι διαθέσιμη δωρεάν μέσω του GitHub. Παρέχει εκτενή τεκμηρίωση για επαγγελματίες ασφαλείας και χρησιμοποιείται σε ασκήσεις αληθινού σεναρίου.

Προσφέρει μια ευρεία γκάμα χαρακτηριστικών, επιτρέποντας στις ομάδες ασφάλειας στον κυβερνοχώρο (καθώς και στους επιτιθέμενους) να οικοδομήσουν μια βάση σε ένα παραβιασμένο δίκτυο:

• Υποστήριξη για HTTP/1.1 μέσω TLS και HTTP/3 (HTTP/2 μέσω QUIC) για επικοινωνία C2.
• PBES2 (RFC 2898) και AES Key Wrap (RFC 3394) για κρυπτογράφηση κίνησης πρακτόρων.
• OPAQUE Asymmetric Password Authenticated Key Exchange (PAKE) & Κρυπτογραφημένο JWT για ασφαλή έλεγχο ταυτότητας χρήστη.
• Υποστήριξη για τεχνικές εκτέλεσης κελύφους CreateThread, CreateRemoteThread, RtlCreateUserThread και QueueUserAPC.
• Πρόσοψη τομέα για παράκαμψη του φιλτραρίσματος δικτύου.
• Ενσωματωμένη υποστήριξη Donut, sRDI και SharpGen.
• Δυναμική αλλαγή στην πλήρωση μηνυμάτων κυκλοφορίας κατακερματισμού JA3 & C2 του πράκτορα για αποφυγή εντοπισμού.

Δείτε ακόμα: Serco: Αποκαλύπτει παραβίαση δεδομένων μετά από επιθέσεις στο MoveIT

Παρ’ όλα αυτά, όπως παρατηρήθηκε το Merlin πλέον υποφέρει από κατάχρηση από κακόβουλους παράγοντες που το χρησιμοποιούν για να ενισχύσουν τις δικές τους επιθέσεις και να εξαπλωθούν πλευρικά μέσω των παραβιασμένων δικτύων.

Το CERT-UA αναφέρει ότι το εντόπισε σε επιθέσεις που ξεκίνησαν με την άφιξη ενός phishing email, που παριστάνει την υπηρεσία (διεύθυνση αποστολέα: cert-ua@ukr.net) και ισχυρίζεται ότι παρέχει στους παραλήπτες οδηγίες σχετικά με το πώς να ενισχύσουν την ασφάλεια της σουίτας MS Office.

Τα ηλεκτρονικά μηνύματα συνοδεύονται από ένα παράρτημα CHM το οποίο, εάν ανοιχτεί, εκτελεί κώδικα JavaScript. Ο κώδικας αυτός, από την πλευρά του, εκτελεί ένα σενάριο PowerShell που ανακτά, αποκρυπτογραφεί και αποσυμπιέζει ένα αρχείο GZIP που περιέχει το εκτελέσιμο “ctlhost.exe“.

Εάν ο παραλήπτης εκτελέσει αυτό το εκτελέσιμο αρχείο, ο υπολογιστής του θα μολυνθεί από το MerlinAgent. Το MerlinAgent είναι ένα κομμάτι κακόβουλου λογισμικού που εγκαθίσταται στον υπολογιστή του παραλήπτη, όταν αυτός εκτελεί το εκτελέσιμο αρχείο “ctlhost.exe”. Μόλις εγκατασταθεί, δίνει στους κακόβουλους παράγοντες πλήρη πρόσβαση στη συσκευή, τα δεδομένα και το δίκτυο του παραλήπτη. Αυτό τους επιτρέπει να εκτελέσουν πλευρικές κινήσεις, δηλαδή να πραγματοποιήσουν επιθέσεις σε άλλα συστήματα που βρίσκονται στο ίδιο δίκτυο. Το MerlinAgent δυσχεραίνει σημαντικά την ανίχνευση των επιθέσεων και την προσπάθεια ανασύνθεσης των δράσεων των επιτιθέμενων.

Το CERT-UA έχει δώσει σε αυτήν την κακόβουλη δραστηριότητα το μοναδικό αναγνωριστικό UAC-0154, με τις πρώτες επιθέσεις να καταγράφονται στις 10 Ιουλίου 2023. Οι δράστες χρησιμοποίησαν ένα δόλωμα “εκπαίδευσης UAV” στα email τους.

Δείτε επίσης: Οι επιθέσεις ransomware την τελευταία πενταετία έχουν κοστίσει στους κατασκευαστές $46B

Η χρήση εργαλείων ανοιχτού κώδικα, όπως το Merlin, για επιθέσεις σε κυβερνητικές υπηρεσίες ή άλλους σημαντικούς οργανισμούς, δυσχεραίνει την ανίχνευση και αφήνει λιγότερα ίχνη που μπορούν να ανασχηματιστούν σε συγκεκριμένους παράγοντες απειλής.