Ερευνητές κυβερνοασφάλειας ανακάλυψαν στοχευμένες επιθέσεις κατά της Ουκρανίας, που αξιοποιούν μια ευπάθεια του Microsoft Office για την παροχή Cobalt Strike σε παραβιασμένα συστήματα. Αξίζει να σημειωθεί ότι πρόκειται για μια ευπάθεια περίπου επτά χρόνων.
Σύμφωνα με τους ερευνητές της Deep Instinct, οι επιθέσεις ξεκίνησαν στα τέλη του 2023. Η επίθεση ξεκινούσε με ένα PowerPoint slideshow file (“signal-2023-12-20-160512.ppsx”), με το όνομα αρχείου να υπονοεί ότι μπορεί να κοινοποιήθηκε μέσω της εφαρμογής άμεσων μηνυμάτων Signal. Ωστόσο, δεν υπάρχει κάποιο άλλο στοιχείο που να αποδεικνύει ότι το αρχείο διανεμήθηκε με αυτόν τον τρόπο, αν και το Computer Emergency Response Team της Ουκρανίας (CERT-UA) έχει αποκαλύψει δύο παλιές καμπάνιες που έχουν χρησιμοποιήσει την εφαρμογή Signal για παράδοση κακόβουλου λογισμικού.
Μόλις την περασμένη εβδομάδα, η υπηρεσία αποκάλυψε ότι οι ουκρανικές ένοπλες δυνάμεις στοχοποιούνται όλο και περισσότερο από την ομάδα UAC-0184 μέσω πλατφορμών ανταλλαγής μηνυμάτων και εφαρμογών γνωριμιών, για την παράδοση κακόβουλου λογισμικού όπως τα HijackLoader, XWorm και Remcos RAT.
Δείτε επίσης: Το Linux malware AcidPour στοχεύει την Ουκρανία
“Το αρχείο PPSX (PowerPoint slideshow) φαίνεται να είναι ένα παλιό εγχειρίδιο οδηγιών του Στρατού των ΗΠΑ“, δήλωσε ο ερευνητής ασφαλείας Ivan Kosarev. “Το αρχείο PPSX περιλαμβάνει μια απομακρυσμένη σχέση με ένα εξωτερικό αντικείμενο OLE“. Αυτό περιλαμβάνει την εκμετάλλευση της ευπάθειας CVE-2017-8570, μιας ευπάθειας του Office, που έχει επιδιορθωθεί. Ωστόσο, σε ευάλωτα, ακόμα, συστήματα, μπορεί να επιτρέψει την εκτέλεση κακόβουλων ενεργειών, αφού το θύμα πειστεί να ανοίξει ένα ειδικά διαμορφωμένο αρχείο για τη φόρτωση ενός remote script που φιλοξενείται στο weavesilk[.]space.
Το script εκκινεί ένα αρχείο HTML που περιέχει κώδικα JavaScript, το οποίο, με τη σειρά του, εξασφαλίζει το persistence στον κεντρικό υπολογιστή μέσω του Windows Registry και εγκαθιστά ένα payload επόμενου σταδίου που υποδύεται το Cisco AnyConnect VPN client.
Το payload περιλαμβάνει ένα dynamic-link library (DLL) που τελικά εισάγει ένα cracked Cobalt Strike Beacon απευθείας στη μνήμη του συστήματος και αναμένει περαιτέρω οδηγίες από έναν command-and-control (C2) server “petapixel[.]fun”).
Προς το παρόν, οι επιθέσεις που χρησιμοποιούν την παλιά ευπάθεια του Microsoft Office, δεν μπορούν να αποδοθούν σε συγκεκριμένη ομάδα. Επίσης, δεν είναι γνωστός ο τελικός στόχος αυτών των επιθέσεων.
Δείτε επίσης: Operation Texonto: Ρώσοι hackers στοχεύουν Ουκρανούς με emails σχετικά με τον πόλεμο
“Το δέλεαρ περιείχε στρατιωτικό περιεχόμενο, υποδηλώνοντας ότι στόχευε στρατιωτικό προσωπικό“, είπε ο Kosarev. “Αλλά τα domain names weavesilk[.]space και petapixel[.]fun σχετίζονται με το obscure generative art site (weavesilk[.]com) και έναν δημοφιλή ιστότοπο πορνό (petapixel[.]com). Δεν σχετίζονται μεταξύ τους και είναι λίγο μπερδεμένο γιατί ένας εισβολέας θα τα χρησιμοποιούσε ειδικά για να ξεγελάσει το στρατιωτικό προσωπικό“.
Για την αποφυγή αυτής της ευπάθειας του Microsoft Office, που επιτρέπει τις παραπάνω επιθέσεις, οι οργανισμοί και οι διαχειριστές συστημάτων πρέπει να διασφαλίσουν ότι εφαρμόζονται όλες οι διαθέσιμες ενημερώσεις ασφαλείας. Η Microsoft κυκλοφορεί τακτικά ενημερώσεις για να διορθώσει τις αδυναμίες που εντοπίζονται στα προϊόντα της.
Επιπλέον, οι χρήστες πρέπει να είναι προσεκτικοί με τα μηνύματα και τα συνημμένα που λαμβάνουν, ειδικά αν προέρχονται από αγνώστους αποστολείς. Πολλές επιθέσεις κυβερνοασφάλειας ξεκινούν με φαινομενικά ακίνδυνα ηλεκτρονικά μηνύματα που περιέχουν κακόβουλο λογισμικό.
Είναι επίσης σημαντικό να χρησιμοποιούνται λύσεις ασφάλειας τελευταίας γενιάς, όπως λογισμικό antivirus και συστήματα ανίχνευσης και αποτροπής εισβολών (IDS/IPS), που μπορούν να ανιχνεύσουν και να μπλοκάρουν τις προσπάθειες επίθεσης.
Δείτε επίσης: Ουκρανία: Το PurpleFox malware έχει μολύνει 2000 υπολογιστές
Τέλος, η εκπαίδευση των χρηστών για τις απειλές κυβερνοασφάλειας και τις καλές πρακτικές ασφάλειας είναι ζωτικής σημασίας. Οι χρήστες που γνωρίζουν πώς να αναγνωρίσουν και να αντιμετωπίσουν τις απειλές, μπορούν να αποτρέψουν πολλές επιθέσεις.
Οι hackers Sandworm στοχεύουν κρίσιμες υποδομές στην Ουκρανία
Η αποκάλυψη έρχεται καθώς το CERT-UA αποκάλυψε ότι περίπου 20 προμηθευτές ενέργειας, νερού και θέρμανσης στην Ουκρανία έχουν στοχοποιηθεί από μια ρωσική κρατική ομάδα που ονομάζεται UAC-0133, μια υποομάδα της Sandworm.
Πηγή: thehackernews.com
