Επιχειρήσεις στην Κίνα γίνονται στόχος μιας αρκετά οργανωμένης και εξελιγμένης εκστρατείας, η οποία πιθανότατα χρησιμοποιεί phishing email για να μολύνει τα συστήματα Windows με Cobalt Strike Payloads.
«Οι χάκερς κατάφεραν να κινηθούν με τέτοιο τρόπο, ώστε να παραμείνουν απαρατήρητοι μέσα στα συστήματα για περισσότερες από δύο εβδομάδες», ανέφεραν οι ερευνητές της Securonix, Den Iuzvyk και Tim Peck, σε πρόσφατο report.
Η μυστική εκστρατεία με κωδική ονομασία SLOW#TEMPEST δεν συνδέεται με κανένα γνωστό παράγοντα απειλής. Ξεκινά με κακόβουλα αρχεία ZIP, τα οποία, μόλις αποσυμπιεστούν, ενεργοποιούν την αλυσίδα μόλυνσης, οδηγώντας στην ανάπτυξη μιας εργαλειοθήκης εκμετάλλευσης σε παραβιασμένα συστήματα.
Διαβάστε ακόμη: Χάκερς της Βόρειας Κορέας στοχεύουν προγραμματιστές με κακόβουλα πακέτα npm
Μαζί με το αρχείο ZIP, περιλαμβάνεται ένα αρχείο συντόμευσης των Windows (LNK) που προσποιείται ότι είναι έγγραφο Microsoft Word, με όνομα “违规远程控制软件人员名单.docx.lnk”, που μεταφράζεται ως “Λίστα ατόμων που παραβίασαν τους control software κανονισμούς .”
«Δεδομένης της γλώσσας που χρησιμοποιείται στα αρχεία δέλεαρ, είναι πιθανό ότι ορισμένες κινέζικες επιχειρήσεις ή κυβερνητικοί τομείς που σχετίζονται με την Κίνα θα μπορούσαν να βρεθούν στο στόχαστρο, καθώς και οι δύο απασχολούν άτομα που τηρούν τους «control software κανονισμούς», σημείωσαν οι ερευνητές.
Το αρχείο LNK λειτουργεί ως αγωγός για την εκκίνηση ενός νόμιμου δυαδικού αρχείου της Microsoft, γνωστού ως “LicensingUI.exe”, το οποίο χρησιμοποιεί πλευρική φόρτωση DLL για να εκτελέσει μια κακόβουλη DLL με την ονομασία”dui70.dll. Και τα δύο αρχεία περιλαμβάνονται σε ένα αρχείο ZIP που βρίσκεται σε έναν κατάλογο με την ονομασία “\其他信息\.__MACOS__\._MACOS_\__MACOSX\MACOS.” Αυτή η επίθεση αντιπροσωπεύει την πρώτη καταγεγραμμένη περίπτωση πλευρικής φόρτωσης DLL μέσω του LicensingUI.exe.
Το αρχείο DLL αποτελεί μια εγκατάσταση στη Cobalt Strike που επιτρέπει μόνιμη και διακριτική πρόσβαση στον μολυσμένο υπολογιστή, ενώ ταυτόχρονα συνδέεται με έναν απομακρυσμένο server (“123.207.74[.]22”).
Η απομακρυσμένη πρόσβαση επιτρέπει στους χάκερς να εκτελούν μια ποικιλία δραστηριοτήτων, όπως η ανάπτυξη πρόσθετων Cobalt Strike Payloads και η δημιουργία διαμεσολαβητικών συνδέσεων.
Η αλυσίδα μόλυνσης ξεχωρίζει επίσης για τη ρύθμιση προγραμματισμένων εργασιών που επιτρέπουν την περιοδική εκτέλεση ενός κακόβουλου εκτελέσιμου αρχείου, ονόματι “lld.exe”. Αυτό το αρχείο μπορεί να εκτελεί αυθαίρετο shell code απευθείας στη μνήμη, αφήνοντας έτσι ελάχιστα ίχνη στον σκληρό δίσκο.
Δείτε περισσότερα: Χάκερς εκμεταλλεύονται zero-day ευπάθεια για να στοχεύσουν παρόχους υπηρεσιών διαδικτύου στις ΗΠΑ
«Οι χάκερς εκμεταλλεύτηκαν την παρουσία τους στα παραβιασμένα συστήματα, αυξάνοντας χειροκίνητα τα προνόμια του ενσωματωμένου λογαριασμού χρήστη Guest», ανέφεραν οι ερευνητές.
Αυτός ο λογαριασμός, συνήθως ανενεργός και με περιορισμένα προνόμια, μετατράπηκε σε ένα ισχυρό σημείο πρόσβασης αφού προστέθηκε στην κρίσιμη ομάδα διαχείρισης και του εκχωρήθηκε ένας νέος κωδικός πρόσβασης. Αυτό το backdoor τους επιτρέπει να διατηρούν πρόσβαση στο σύστημα με ελάχιστη ανίχνευση, καθώς ο Guest λογαριασμός παρακολουθείται λιγότερο αυστηρά από άλλους λογαριασμούς χρηστών.
Ο άγνωστος παράγοντας απειλής συνέχισε να κινείται πλευρικά, χρησιμοποιώντας το πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας (RDP) και τα διαπιστευτήρια που αποκτήθηκαν μέσω του εργαλείου εξαγωγής κωδικού πρόσβασης Mimikatz. Στη συνέχεια, ρύθμισε απομακρυσμένες συνδέσεις πίσω στον server εντολών και ελέγχου (C2) από κάθε μία από αυτές τις μηχανές.
Η φάση που ακολουθεί την εκμετάλλευση περιλαμβάνει την εκτέλεση διαφόρων εντολών απαρίθμησης και τη χρήση του εργαλείου BloodHound για την αναγνώριση του ενεργού καταλόγου (AD). Τα αποτελέσματα αυτής της διαδικασίας εξάγονται στη συνέχεια σε μορφή αρχείου ZIP.
Διαβάστε επίσης: Ευπάθεια του Apache επιτρέπει σε χάκερς να κλέβουν ευαίσθητα δεδομένα από συστήματα Unix
Οι συνδέσεις με την Κίνα ενισχύονται καθώς όλοι οι C2 servers φιλοξενούνται στην Κίνα από την Shenzhen Tencent Computer Systems Company Limited. Επιπλέον, η πλειονότητα των στοιχείων που σχετίζονται με την εκστρατεία προέρχεται από την Κίνα.
Οι ερευνητές κατέληξαν στο συμπέρασμα ότι «Αν και δεν υπήρχαν αδιάσειστα στοιχεία που να συνδέουν αυτή την επίθεση με γνωστές ομάδες APT, είναι πιθανό ότι οργανώθηκε από έναν έμπειρο παράγοντα απειλής, ο οποίος είχε γνώσεις στη χρήση προηγμένων πλαισίων εκμετάλλευσης όπως το Cobalt Strike, καθώς και σε ένα ευρύ φάσμα άλλων εργαλείων μετά την εκμετάλλευση».
Πηγή: thehackernews
