Στο στόχαστρο κυβερνοεπίθεσης από την κολεκτίβα hackers APT41 έχουν γίνει edia, logistics, αυτοκινητοβιομηχανίες, υποδομές και τεχνολογικές εταιρίες στην Ιταλία, την Ισπανία, την Ταϊβάν, την Ταϊλάνδη, την Τουρκία και το Ηνωμένο Βασίλειο.
Η APT41 κατάφερε να διεισδύσει και να διατηρήσει παρατεταμένη, μη εξουσιοδοτημένη πρόσβαση σε δίκτυα πολλών οργανισμών από το 2023, επιτρέποντάς τους να εξάγουν ευαίσθητα δεδομένα για παρατεταμένη περίοδο, σύμφωνα με την έκθεση της Mandiant που δημοσιεύθηκε την Πέμπτη.
Το τελευταίο 24ωρο βρίσκεται σε εξέλιξη επίθεση στην Ελλάδα με το Ελληνικό Κτηματολόγιο να έχει υποστεί παραβίαση των δικτύων του με δύο τρόπους, αρχιτεκτονική που κατατείνει στο modus operandi των APT41, χωρίς ωστόσο να έχει επιβεβαιωθεί ότι πρόκειται για τη συγκεκριμένη ομάδα.
Οι επιθέσεις
Οι αλυσίδες επίθεσης περιλαμβάνουν τη χρήση web shells (ANTSWORD και BLUEBEAM), προσαρμοσμένων droppers (DUSTPAN και DUSTTRAP), και διαθέσιμων εργαλείων (SQLULDR2 και PINEGROVE) για να επιτύχουν αντοχή, να παραδώσουν επιπλέον payloads και να εξάγουν δεδομένα ενδιαφέροντος.
Τα web shells λειτουργούν ως αγωγός για να κατεβάσουν τον dropper DUSTPAN (γνωστός και ως StealthVector), ο οποίος είναι υπεύθυνος για τη φόρτωση του Cobalt Strike Beacon για επικοινωνία command-and-control (C2), ακολουθούμενη από την ανάπτυξη του dropper DUSTTRAP μετά την πλευρική κίνηση.
Το DUSTTRAP, από την πλευρά του, είναι διαμορφωμένο να αποκρυπτογραφεί ένα κακόβουλο payload και να το εκτελεί στη μνήμη, το οποίο, με τη σειρά του, καθιερώνει επαφή με έναν server που ελέγχεται από επιτιθέμενους ή έναν παραβιασμένο λογαριασμό Google Workspace σε μια προσπάθεια να κρύψει τις κακόβουλες δραστηριότητές του.
Η Google ανέφερε ότι οι αναγνωρισμένοι λογαριασμοί Workspace έχουν αποκατασταθεί για να αποτραπεί η μη εξουσιοδοτημένη πρόσβαση. Ωστόσο, δεν αποκάλυψε πόσοι λογαριασμοί επηρεάστηκαν.
Οι εισβολές χαρακτηρίζονται επίσης από τη χρήση του SQLULDR2 για την εξαγωγή δεδομένων από βάσεις δεδομένων Oracle σε ένα τοπικό αρχείο βασισμένο σε κείμενο και του PINEGROVE για τη μετάδοση μεγάλων όγκων ευαίσθητων δεδομένων από παραβιασμένα δίκτυα χρησιμοποιώντας το Microsoft OneDrive ως κανάλι εξαγωγής.
Αξίζει να σημειωθεί ότι οι οικογένειες κακόβουλου λογισμικού που παρακολουθεί η Mandiant ως DUSTPAN και DUSTTRAP έχουν ομοιότητες με αυτές που έχουν κωδικοποιηθεί ως DodgeBox και MoonWalk, αντίστοιχα, από το Zscaler ThreatLabz.
Το DUSTTRAP είναι ένα πλαίσιο πολλαπλών σταδίων με πολλαπλά συστατικά, σύμφωνα με τους ερευνητές της Mandiant, που αναφέρουν ότι ταυτοποίησαν τουλάχιστον 15 πρόσθετα που μπορούν να εκτελούν εντολές κελύφους, λειτουργίες συστήματος αρχείων, καταγραφή και τερματισμό διεργασιών, καταγραφή πληκτρολογήσεων και στιγμιοτύπων οθόνης, συλλογή πληροφοριών συστήματος και τροποποίηση του Windows Registry.
Είναι επίσης σχεδιασμένο να εξετάζει απομακρυσμένους κεντρικούς υπολογιστές, να εκτελεί DNS lookups, να απαριθμεί απομακρυσμένες συνεδρίες επιφάνειας εργασίας, να ανεβάζει αρχεία και να χειρίζεται το Microsoft Active Directory.
Το κακόβουλο λογισμικό DUSTTRAP και τα σχετικά συστατικά του που παρατηρήθηκαν κατά την εισβολή ήταν κωδικοποιημένα με πιστοποιητικά υπογραφής κώδικα που θεωρητικά είχαν κλαπεί. Ένα από αυτά τα πιστοποιητικά φαινόταν να σχετίζεται με μια νοτιοκορεατική εταιρεία που δραστηριοποιείται στον τομέα των παιχνιδιών.
GhostEmperor
Η ισραηλινή εταιρία κυβερνοασφάλειας Sygnia αποκάλυψε λεπτομέρειες για μια εκστρατεία κυβερνοεπίθεσης από την ομάδα GhostEmperor που συνδέεται με την Κίνα, για την παράδοση μιας παραλλαγής του rootkit Demodex.
Ο ακριβής τρόπος παραβίασης των στόχων δεν είναι ξεκάθαρος, αλλά η ομάδα έχει παρατηρηθεί να εκμεταλλεύεται γνωστές ευπάθειες σε εφαρμογές που βλέπουν το διαδίκτυο. Η αρχική πρόσβαση επιτρέπει την εκτέλεση ενός batch script των Windows, το οποίο ρίχνει ένα αρχείο CAB για την εκκίνηση ενός βασικού module εμφύτευσης.
Το εμφύτευμα διαχειρίζεται τις επικοινωνίες C2 και εγκαθιστά το kernel rootkit Demodex χρησιμοποιώντας ένα ανοιχτού κώδικα έργο, το Cheat Engine, για να παρακάμψει τον μηχανισμό Windows Driver Signature Enforcement (DSE).
Ο ερευνητής ασφαλείας Dor Nizar ανέφερε ότι το GhostEmperor χρησιμοποιεί κακόβουλο λογισμικό πολλαπλών σταδίων για να επιτύχει κρυφή εκτέλεση και αντοχή και χρησιμοποιεί διάφορες μεθόδους για να εμποδίσει την ανάλυση.
